Turla en Gamaredon, twee van de meest actieve cyberbendes die aan het Kremlin worden gelinkt, zijn voor het eerst in samenwerkingsverband gespot. Dat schrijven onderzoekers van beveiliger ESET.
Malware van de groepen werd samen gevonden op waardevolle toestellen in Oekraïne, zo melden de onderzoekers op hun blog. Het gaat daarbij om malware van Turla en Gamaredon. Turla is wereldwijd een van de meest geavanceerde APT’s (advanced persistent threat group, een goed georganiseerde cyberorganisatie die meestal voor een natiestaat werkt, nvdr). De groep wordt gelinkt aan cyberaanvallen op het Amerikaanse Ministerie van Defensie in 2008, en recentelijk op het Duitse buitenlandministerie en het Franse leger. Turla gebruikt onder meer satellietinternet om zich te verbergen en lijkt vooral te gaan voor specifieke, vaak goed-beveiligde doelwitten die belangrijke informatie kunnen bevatten.
De groep werkt waarschijnlijk voor de FSB, de Russische geheime dienst, net als Gamaredon. Dat is een aparte APT die veel bredere operaties uitbaat, weliswaar vaak in Oekraïne. In tegenstelling tot Turla lijkt Gamaredon zich weinig aan te trekken van de geheimhouding van zijn aanvallen. De malware van de groep verzamelt op korte termijn zo veel mogelijk informatie over de doelwitten en wist zijn sporen zelden.
Samenwerking
ESET zegt nu dat het in de voorbije maanden enkele keren malware van beide bendes heeft gevonden op hetzelfde toestel of op toestellen die aan elkaar gelinkt zijn. De onderzoekers geven aan dat Turla mogelijk toestellen heeft gekaapt die Gamaredon eerder al had geïnfecteerd, maar het gaat waarschijnlijk om een samenwerking. ‘Gezien beide groepen deel uitmaken van de Russische FSB, heeft Gamaredon toegang te geven aan Turla-agenten om bevelen te geven aan specifieke machines,’ aldus de onderzoekers.
ESET software op een van de geïnfecteerde toestellen merkte op dat Turla commando’s aan het toestel gaf via de infectiehaard van Gamaredon. Het is de eerste keer dat ESET de twee groepen ziet samenwerken. De onderzoekers vermoeden dat Gamaredon honderden of duizenden machines infecteert, en dat Turla er daar enkele specifieke uitkiest om verder over te nemen, waarschijnlijk degene met de meeste gevoelige informatie.