Güvenlik Araştırmaları ve Rus Siber Tehditleri
Son dönemde yapılan güvenlik araştırmaları, iki Rus hack grubu olan Gamaredon ve Turla‘nın, özellikle Ukrayna’ya yönelik siber saldırılarında işbirliği yaptığını ortaya koymaktadır. Slovak güvenlik firması ESET, 2025 yılı Şubat ayında, Gamaredon’a ait PteroGraphin ve PteroOdd araçlarının, Turla grubunun Kazuar arka kapısını uygulamak için kullanıldığını belirtti. Bu durum, Turla’nın Ukrayna’daki belirli makineler üzerinde erişim sağlamak amacıyla Gamaredon ile aktif bir işbirliği içinde olduğunu göstermektedir.
PateroGraphin ve Kazuar Arasındaki Bağlantı
ESET’in raporuna göre, PteroGraphin aracı, Kazuar v3 arka kapısını yeniden başlatmak için kullanılmıştır. Turla’nın saldırıları sırasında Kazuar v2 ve v3 versiyonlarının yanında PteroOdd ve PteroPaste gibi başka Gamaredon zararlı yazılımlarının da kullanıldığı tespit edilmiştir. Gamaredon ve Turla, Rusya Federal Güvenlik Servisi (FSB) ile ilişkili olduğu değerlendirilmekte ve bu gruplar, özellikle Ukrayna devlet kurumlarına yönelik birçok saldırı gerçekleştirmiştir.
Turla ve Kazuar
Turla, 2004 yılından bu yana aktif olan ünlü bir siber casusluk grubudur. Turla’nın bu süreçteki temel implantı Kazuar, çeşitli güncellemelerle sürekli olarak geliştirilmekte ve Amadey botları ile birlikte çalışarak Tavdig adında bir arka kapı dağıtmaktadır. Kazuar ile ilgili ilk bulgular 2016 yılına kadar gitmektedir.
Kazuar’ın nasıl çalıştığı ile ilgili olarak, ESET araştırmacıları 2025 Şubat ayı sonlarında en son versiyonun uygulandığını belirtmiştir. Kazuar v3, belirli bir şekilde kod tabanı olarak Kazuar v2 ile benzerlik gösterse de, yaklaşık olarak %35 daha fazla C# koduna sahiptir ve yeni ağ taşıma yöntemleri tanıtmaktadır. Bu özellikler onun daha esnek ve tehlikeli bir tehdit haline gelmesini sağlamaktadır.
Gamaredon’un Araç Seti ve İşleyişi
Gamaredon’un geliştirdiği yeni araçlar arasında yer alan PteroGraphin, Microsoft Excel ekleri ve zamanlanmış görevler kullanarak kalıcılık sağlamakta ve Telegraph API’sini komut ve kontrol (C2) için kullanmaktadır. Bu araç, ilk olarak 2024 yılı Ağustos ayında keşfedilmiştir.
Gamaredon’un saldırı vektörleri genellikle spear-phishing ve zararlı LNK dosyaları içermekte olup, bu da onların sistemlerine nasıl erişim sağladıklarına dair ipuçları vermektedir. ESET, son 18 ayda Ukrayna’da yedi makine üzerinde Turla ile ilişkili izlere rastlandığını belirtirken, Ocak 2025’te dört makinenin Gamaredon tarafından ihlal edildiğini ifade etmiştir.
Sistem Bilgilerinin Toplanması ve İletimi
Gamaredon’un PteroGraphin aracı kullanılarak, hedef makinalardan sistem bilgileri toplanmakta ve bu bilgiler dış kaynaklara iletilmektedir. Örneğin, bu veriler cloudflare.com üzerinden aktarılmakta ve tüm sürecin hedef gruba ait Kazuar arka kapısının etkinliğini artırmakta olduğu gözlemlenmektedir.
ESET, ayrıca Nisan 2025’te PteroOdd aracılığıyla başka bir saldırı tespit ettiğini ve bu süreçte Kazuar v2’nin yüklenmiş olduğunu da belirtmiştir. Bu zafiyetler, Gamaredon ile Turla’nın işbirliğinin ne denli tehlikeli boyutlara ulaşabileceğine dair önemli ipuçları sunmaktadır.
Son Dönem Saldırı Zincirleri
2025 yılı Nisan ayında PteroOdd’un kullanılmasıyla birlikte bir başka PowerShell yükleyicisi olan PteroEffigy ortaya çıkmıştır. PteroEffigy’nin “eset.ydns[.]eu” alan adı ile iletişime geçtiği ve Kazuar v2’yi yüklediği kaydedilmiştir. Bunun yaninda, Haziran ayının başlarında da başka bir saldırı zinciri gözlemlenmiştir. Bu saldırılar, ürünlerin ismini değiştirerek sahte kimlik oluşturma girişimleri olarak değerlendirilmektedir.
ESET, Gamaredon ve Turla gruplarının birbirleriyle yüksek güvenle işbirliği yaptığını ve Gamaredon’un Turla’ya ilk erişim sağladığını vurgulamakta, bu durumun siber güvenlik için ne denli tehdit oluşturduğuna dikkat çekmektedir. Bu tür işbirlikleri, gelecek saldırılarda daha etkili olabilecekleri anlamına gelmekte ve siber güvenlik önlemlerinin artırılması gerektiğini göstermektedir.
