A ESET publicou um relatório sobre a descoberta dos primeiros casos de colaboração entre os grupos cibercriminosos Gameredon e o Turla. Ambos os grupos estão associados ao Serviço Federal de Segurança da Federação Russa (FSB) e atacaram em conjunto alvos de alto perfil na Ucrânia. A especialista em cibersegurança diz que nas máquinas afetadas, o Gamaredon implantou diversas ferramentas, usadas depois pelo Turla para emitir comandos. 

Ao longo deste ano, a ESET detetou o Turla em sete máquinas na Ucrânia. Uma vez que o Gamaredon está a comprometer centenas, senão milhares, de máquinas, isto sugere que o Turla está apenas interessado em máquinas específicas, provavelmente aquelas que contêm informações altamente confidenciais”, explica o investigador da empresa, Matthieu Faou.

Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt

Em fevereiro de 2025, a ESET detetou a execução do backdoor  Kazuar v3 do Turla pelo PteroGraphin e PteroOdd do Gamaredon numa máquina na Ucrânia. O primeiro foi usado para reiniciar o Kazuar, “possivelmente após ter bloqueado ou não ter sido iniciado automaticamente”, aponta a empresa, referindo que o PteroGraphin terá sido utilizado como um método de recuperação pelo Turla.

Com estas provas, a ESET diz que é a primeira vez que se consegue ligar os dois grupos através de indicadores técnicos. Em abril e junho deste ano, a empresa detetou que o Kazuar v2 foi implantado utilizando ferramentas PteroOdd e PteroPaste do Gamaredon. A mais recente versão v3, é considerado um implante avançado de espionagem em C#, levando a ESET a acreditar ter sido usado exclusivamente pelo Turla, tendo sido detetado pela primeira vez em 2016. O Gamaredon implantou ainda os malwares PteroLNK, o PteroStew e o PteroEffigy. 

O analista da ESET diz que o Gammaredon é conhecido por utilizar spearphishing e ficheiros LNK maliciosos em unidades removíveis, pelo que um destes deve ter sido utilizado nos ataques. O Serviço de Segurança da Ucrânia acredita que o Gamaredon seja operado por oficiais do Centro 18 do FSB, conhecido como o Centro de Segurança da Informação na Crimeia, fazendo parte do serviço de contraespionagem do FSB. Já o Turla, o Centro Nacional de Cibersegurança do Reino Unido atribui ao Centro 16 do FSB, a agência principal de inteligência de sinais da Rússia.

São apontadas parcerias, a nível organizacional, entre as duas entidades Turla e Gamaredon, desde a era da Guerra Fria, tendo sido reforçado desde a invasão da Ucrânia em 2022. Os dados apontados pela ESET mostram que as atividades dos grupos se concentraram no sector da defesa ucraniano nos últimos  meses. Desde 2013, o Gamaredon é responsável por diversos ataques a instituições governamentais ucranianas. O Turla, conhecido também como Snake, concentra-se em alvos de alto perfil, como governos e entidades diplomáticas, tanto na Europa, como na Ásia Central e Médio Oriente. Invadiu grandes organizações, tais como o Departamento de Defesa dos Estados Unidos em 2008 e a empresa de defesa suíça RUAG em 2014.