كشف باحثون في مجال الأمن السيبراني عن أدلة تشير إلى تعاون مباشر بين مجموعتي القرصنة الروسيتين Gamaredon وTurla لاستهداف كيانات أوكرانية وتنفيذ هجمات تجسسية معقدة باستخدام باب خلفي يعرف باسم Kazuar. وأكدت شركة الأمن السلوفاكية ESET أنها رصدت هذا التعاون في فبراير 2025، حين استُخدمت أدوات Gamaredon لتشغيل باب Turla الخلفي على أحد الأنظمة داخل أوكرانيا.
أدوات Gamaredon لتنفيذ هجمات Turla
أوضحت ESET أن أداة PteroGraphin استُخدمت لإعادة تشغيل نسخة Kazuar v3، ربما بعد توقفها المفاجئ، ما يشير إلى أنها استُخدمت كآلية للتعافي. كما كشفت التحقيقات عن نشر نسخ أخرى من Kazuar v2 في أبريل ويونيو 2025 باستخدام برمجيات خبيثة إضافية مثل PteroOdd وPteroPaste.
تُعرف Gamaredon أيضًا بأسماء Aqua Blizzard وArmageddon، وترتبط بجهاز الأمن الفيدرالي الروسي (FSB)، فيما تُعرف Turla بأسماء Venomous Bear وSnake، ولها تاريخ طويل في عمليات التجسس السيبراني ضد حكومات وكيانات دبلوماسية في أوروبا وآسيا والشرق الأوسط.
خلفيات وتاريخ المجموعتين
تشير التقارير إلى أن غزو روسيا واسع النطاق لأوكرانيا عام 2022 ساهم في تعزيز هذا التعاون. فـGamaredon تنشط منذ عام 2013، واستهدفت مرارًا مؤسسات حكومية أوكرانية. أما Turla، فهي من أقدم المجموعات السيبرانية، إذ تعود أنشطتها إلى مطلع الألفية، وسبق لها اختراق وزارة الدفاع الأميركية عام 2008 وشركة RUAG السويسرية عام 2014.
وتُعد Kazuar من أبرز أدوات Turla، وقد رُصدت منذ عام 2016 وهي تخضع لتحديثات مستمرة لتوسيع قدراتها في التجسس وجمع البيانات.
آليات الهجوم وتقنيات الاختراق
رصدت ESET أن سلسلة الهجوم اعتمدت على قيام Gamaredon بنشر PteroGraphin، الذي حمّل بدوره أداة PteroOdd لاستقدام الحمولة الخبيثة عبر واجهة برمجة تطبيقات Telegraph وتشغيل Kazuar. تضمنت المهام جمع معلومات من الجهاز المستهدف مثل اسم الحاسوب ورقم القرص التسلسلي وإرسالها إلى نطاقات خارجية، بعضها مسجّل على Cloudflare Workers.
كما لوحظت هجمات أخرى تضمنت أدوات PowerShell مثل PteroEffigy وPteroPaste لنشر Kazuar v2 على أنظمة أوكرانية إضافية في أبريل ويونيو 2025.
تقييم وتحليل
أكد خبراء ESET أن هذه الأنشطة لا تمثل حوادث فردية بل حملة منظمة، حيث تم رصد مؤشرات مرتبطة بـTurla على سبعة أجهزة أوكرانية خلال 18 شهراً، أربعة منها كانت قد اخترقتها Gamaredon سابقًا. وخلص الباحثون إلى أن Gamaredon وفّرت الوصول الأولي للأنظمة بينما تولت Turla استغلال هذا الوصول عبر زرع Kazuar، ما يعكس تعاونًا وثيقًا بين مجموعتين مرتبطتين بالـFSB.
