لكن ESET قالت إن فرضيتها على الأرجح هي أن Turla و Gamaredon كانا يعملان معًا. وقالت الشركة: “بالنظر إلى أن كلا المجموعتين جزء من FSB الروسي (على الرغم من وجوده في مركزين مختلفين) ، أتاح Gamaredon الوصول إلى مشغلي Turla حتى يتمكنوا من إصدار أوامر على آلة معينة لإعادة تشغيل Kazuar ، ونشر Kazuar V2 على بعض الآخرين”.
أشار منشور يوم الجمعة إلى أن Gamaredon قد شوهد يتعاون مع مجموعات الاختراق الأخرى سابقًا ، وتحديداً في عام 2020 مع مجموعة ESET مجموعة تحت اسم Invisimole.
في فبراير / شباط ، قال ESET ، رصد الباحثون في الشركة أربعة برامج متميزة في Gamaredon-Turla في أوكرانيا. على جميع الآلات ، قام Gamaredon بنشر مجموعة واسعة من الأدوات ، بما في ذلك تلك التي تم تتبعها تحت الأسماء Pterolnk و Pterostew و Pteroodd و Pteroeffigy و Pterographin. Turla ، من جانبها ، تم تثبيت الإصدار 3 من البرامج الضارة الملكية Kazuar.
تم تثبيت برنامج ESET على أحد الأجهزة التي تم عرضها للخطر أوامر إصدار Turla من خلال غرسات Gamaredon.
وقال إيسيت: “تم استخدام البتروغرامين لإعادة تشغيل كازوار ، ربما بعد تحطم كازوار أو لم يتم إطلاقه تلقائيًا”. “وهكذا ، ربما تم استخدام البتروغرامين كطريقة استرداد من قبل Turla. هذه هي المرة الأولى التي تمكنا من ربط هاتين المجموعتين معًا عبر المؤشرات التقنية (انظر السلسلة الأولى: السلسلة الأولى: إعادة تشغيل Kazuar V3). “
ثم ، في أبريل ومرة أخرى في يونيو ، قالت ESET إنها اكتشفت مثبتات Kazuar V2 التي يتم نشرها بواسطة البرامج الضارة Gamaredon. في جميع الحالات ، تم تثبيت برنامج ESET بعد التنازلات ، لذلك لم يكن من الممكن استرداد الحمولات. ومع ذلك ، قالت الشركة إنها تعتقد أن التعاون النشط بين المجموعات هو التفسير الأكثر ترجيحًا.
“كل هذه العناصر ، وحقيقة أن Gamaredon تضعس المئات إن لم يكن الآلاف من الآلات ، تشير إلى أن Turla مهتم فقط في آلات محددة ، وربما تحتوي على ذكاء حساسة للغاية” ، تكهن ESET.
اكتشاف المزيد من عرب نيوز للتقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
