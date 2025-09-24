Wygląda na to, że Ukraina musi mierzyć się teraz z połączonymi siłami rosyjskich hakerów. Jak odkryli badacze, zaawansowana technicznie grupa Turla zaczęła wykorzystywać systemy wcześniej przejęte przez znaną z masowych kampanii grupę Gamaredon.

W lutym ESET zidentyfikował cztery ukraińskie komputery zainfekowane jednocześnie przez obie grupy. Gamaredon użył swojego standardowego arsenału złośliwego oprogramowania, m.in. PteroLNK, PteroStew, PteroOdd, PteroEffigy i PteroGraphin, natomiast Turla zainstalowała własne narzędzie szpiegowskie Kazuar.

Co istotne, badacze zauważyli, że operatorzy Turli korzystali z implantów Gamaredona do kontrolowania swojego backdoora i np. przy pomocy PteroGraphin restartowali Kazuar, gdy ten nie uruchomił się prawidłowo. W kolejnych miesiącach (kwiecień i czerwiec) Gamaredon instalował już bezpośrednio nową wersję Kazuar 2.

Turla i Gamaredon. Różne style, wspólny cel

Do tej pory modus operandi grup był zupełnie odmienny. Turla (aktywna od 2004 roku) specjalizowała się w cichych precyzyjnych atakach na sieci o wysokiej wartości, m.in. Pentagon, niemieckie MSZ czy francuską armię. To właśnie ona zasłynęła z innowacji technicznych, jak złośliwe oprogramowanie dla Linuksa czy ukrywanie komunikacji C2 w ruchu satelitarnym.

Z kolei Gamaredon (aktywny co najmniej od 2013 roku) atakuje masowo i głośno, głównie ukraińskie instytucje rządowe. Posługuje się przy tym prostymi metodami, jak choćby phishingiem, infekując setki, a nawet tysiące urządzeń jednocześnie. Dotychczas takie różnice sugerowały rywalizacje grup i próby przejęcia, ale obecnie dowody wskazują na coraz głębszą koordynację ich działań.

Współpraca zamiast przejęcia?

Turla w przeszłości przejmowała infrastruktury innych grup, np. irańskich hakerów w 2019 roku czy grup finansowych atakujących terminale Starlink w 2024. Dlatego początkowo rozważano, że podobnie mogło być z Gamaredonem. Jednak konsekwencja działań i powtarzające się przypadki współpracy sugerują raczej świadome udostępnienie swoich narzędzi.

Warto przy tym podkreślić, że obie grupy są powiązane z rosyjską Federalną Służbą Bezpieczeństwa (FSB), choć z innymi centrami (Gamaredon z Centrum 18, podległym kontrwywiadowi FSB, a Turla z Centrum 16, głównym ramieniem wywiadu sygnałowego). Zdaniem ekspertów taki podział pracy ma sens, gdyż Gamaredon dokonuje szerokich masowych infekcji, a Turla selekcjonuje tylko te systemy, które zawierają wrażliwe informacje wywiadowcze.

Podobna współpraca ma swoje korzenie jeszcze w czasach KGB, kiedy to dyrektoriaty odpowiedzialne dziś za Centra 16 i 18 często współdziałały przy operacjach szpiegowskich. Już po 2018 roku ukraińskie służby donosiły o wspólnych kampaniach obu centrów, a wojna rozpoczęta w 2022 roku tylko przyspieszyła ten proces.

