Hai nhóm hacker tinh vi do nhà nước Nga tài trợ, Gamaredon và Turla, đã được ghi nhận hợp tác trong các tấn công mạng phức tạp nhằm vào các tổ chức Ukraine. Mục tiêu chính là triển khai backdoor Kazuar tiên tiến.

Những bằng chứng mới nhất cho thấy mức độ phối hợp chưa từng có giữa các nhóm tấn công này, đều có liên kết với Cục An ninh Liên bang (FSB). Điều này đánh dấu một bước tiến đáng kể trong các hoạt động gián điệp mạng của Nga.

Sự Hợp Tác Giữa Gamaredon và Turla: Mối Đe Dọa Mạng Tinh Vi

Các nhà nghiên cứu bảo mật đã cung cấp bằng chứng kỹ thuật đầu tiên liên kết các hoạt động của Gamaredon và Turla. Sự liên kết này thông qua việc chia sẻ cơ sở hạ tầng và phối hợp triển khai họ mã độc Kazuar. Mối quan hệ đối tác này là một liên minh chiến lược giữa hai trung tâm FSB riêng biệt.

Gamaredon được điều hành bởi Trung tâm 18 (An ninh Thông tin) tại Crimea bị chiếm đóng. Trong khi đó, Turla được cho là có liên quan đến Trung tâm 16 (tình báo tín hiệu).

Đồng Bộ Hoạt Động Gián Điệp

Sự hợp tác này thể hiện cách các cơ quan tình báo Nga tận dụng thế mạnh riêng của từng nhóm. Gamaredon sở hữu mạng lưới truy cập rộng khắp, còn Turla có khả năng gián điệp tinh vi.

Từ tháng 2 đến tháng 6 năm 2025, các nhà nghiên cứu đã xác định nhiều trường hợp. Trong đó, các công cụ truy cập ban đầu của Gamaredon được sử dụng để triển khai backdoor Kazuar của Turla trên các mục tiêu có giá trị cao ở Ukraine.

Để biết thêm chi tiết về nghiên cứu này, bạn có thể tham khảo tại báo cáo của ESET: Gamaredon x Turla: Sự hợp tác trong chiến dịch gián điệp.

Chiến Thuật Và Công Cụ Của Gamaredon

Gamaredon, hoạt động từ năm 2013, liên tục nhắm mục tiêu vào các tổ chức chính phủ Ukraine. Nhóm này đã thực hiện hơn 5.000 cuộc tấn công mạng được ghi nhận.

Nhóm này hoạt động từ Crimea, dưới sự chỉ đạo của Trung tâm 18 FSB. Trọng tâm của họ là các chiến dịch xâm nhập trên diện rộng vào cơ sở hạ tầng của Ukraine.

Vai Trò của Gamaredon trong Các Cuộc Tấn Công Mạng

Các công cụ của Gamaredon bao gồm PteroLNK, PteroStew, PteroOdd, PteroEffigy và PteroGraphin. Đây là các mã độc tùy chỉnh được thiết kế để truy cập ban đầu và duy trì sự hiện diện trong hệ thống.

Turla và Sự Phát Triển Của Backdoor Kazuar

Turla, còn được biết đến với tên Snake, là một trong những nhóm gián điệp mạng tinh vi nhất trên toàn cầu. Nhóm này hoạt động từ ít nhất năm 2004 và bị nghi ngờ có liên hệ với Trung tâm 16 FSB.

Trước đây, nhóm này đã xâm nhập thành công nhiều mục tiêu lớn, bao gồm Bộ Quốc phòng Hoa Kỳ và công ty quốc phòng Thụy Sĩ RUAG.

Kazuar v3: Công Nghệ Gián Điệp Tiên Tiến

Vũ khí mới nhất của Turla, Kazuar phiên bản 3, đại diện cho một bước tiến đáng kể trong công nghệ implant gián điệp dựa trên C#. Kazuar v3 bao gồm khoảng 35% mã nguồn nhiều hơn so với phiên bản tiền nhiệm và giới thiệu các phương thức truyền tải mạng tiên tiến. Các phương thức này bao gồm web sockets và Exchange Web Services.

Mã độc này hoạt động thông qua ba vai trò riêng biệt: KERNEL, BRIDGE và WORKER. Mỗi thành phần có các chức năng chuyên biệt được phân phối để tăng cường an ninh hoạt động.

Phân Tích Chuỗi Tấn Công Và Cơ Chế Hoạt Động

Sự hợp tác giữa hai nhóm hacker này bao gồm ba chuỗi tấn công riêng biệt được các nhà nghiên cứu bảo mật ghi nhận. Các chuỗi này làm rõ cơ chế phối hợp trong các tấn công mạng.

Các Kịch Bản Khai Thác Chung

Trong chuỗi tấn công đầu tiên, công cụ PteroGraphin của Gamaredon được sử dụng để khởi động lại implant Kazuar v3 của Turla. Điều này cho thấy sự phối hợp hoạt động, nơi Gamaredon cung cấp khả năng phục hồi cho các hoạt động của Turla.

Chuỗi thứ hai và thứ ba cho thấy việc triển khai trực tiếp Kazuar v2 thông qua các công cụ PteroOdd và PteroPaste của Gamaredon. Điều này chứng tỏ sự hợp tác có hệ thống và chặt chẽ giữa hai nhóm.

Cơ Sở Hạ Tầng Chung và Chỉ Số Thỏa Hiệp (IOCs)

Bằng chứng kỹ thuật bao gồm việc các công cụ của Gamaredon tải trình cài đặt Kazuar từ cơ sở hạ tầng command-and-control (C2). Cả hai nhóm cũng chia sẻ việc sử dụng Telegra.ph để phân phối payload. Ngoài ra, việc sử dụng phối hợp các máy chủ WordPress bị xâm nhập làm kênh liên lạc cho Kazuar cũng được ghi nhận.

Các chỉ số này chứng minh sự tích hợp hoạt động có hệ thống, không phải là hoạt động ngẫu nhiên.

Danh sách Chỉ Số Thỏa Hiệp (IOCs):

• URL C2:

https://api.telegra[.]ph/getPage/dinoasjdnl-02-27?return_content=true

Cơ sở hạ tầng C2 bổ sung:

• Các máy chủ WordPress bị xâm nhập được sử dụng làm kênh liên lạc cho Kazuar.

Mã độc được phát hiện:

• Kazuar v2, v3
• Công cụ của Gamaredon: PteroLNK, PteroStew, PteroOdd, PteroEffigy, PteroGraphin, PteroPaste

Vào ngày 27 tháng 2 năm 2025 lúc 15:47:56 UTC, một yêu cầu đến URL Telegra.ph trên đã được phát hiện. Tiếp theo, vào ngày 28 tháng 2 năm 2025 lúc 15:17:14 UTC, một script PowerShell tương tự cũng được phát hiện, minh chứng cho các hoạt động của mối đe dọa mạng này.

Ý Nghĩa Chiến Lược và Bối Cảnh Địa Chính Trị

Phân tích sự hợp tác cho thấy các mô hình nhắm mục tiêu có chọn lọc, gợi ý rằng Turla quan tâm đến các mục tiêu tình báo có giá trị cao cụ thể. Đây là một khía cạnh quan trọng của an ninh mạng.

Phạm Vi Mục Tiêu và Tầm Quan Trọng

Trong khi Gamaredon thường xâm nhập hàng trăm hoặc hàng ngàn máy trong các chiến dịch rộng lớn, việc Turla triển khai Kazuar có chọn lọc cho thấy sự tập trung vào các tổ chức chứa thông tin tình báo nhạy cảm cao.

Trong hơn 18 tháng, các nhà nghiên cứu chỉ phát hiện sự hiện diện của Turla trên bảy máy ở Ukraine. Gamaredon đã cung cấp sự xâm nhập ban đầu vào tháng 1 năm 2025, sau đó là việc triển khai Kazuar v3 vào tháng 2 năm 2025.

Cách tiếp cận có chọn lọc này phù hợp với trọng tâm lịch sử của Turla vào các mục tiêu chính phủ và ngoại giao cấp cao trên khắp châu Âu, Trung Á và Trung Đông. Nó làm nổi bật mức độ nguy hiểm của các tấn công mạng có tổ chức.

Bối cảnh địa chính trị cho thấy mối liên kết lịch sử sâu sắc cho sự hợp tác này. Trung tâm 16 và Trung tâm 18 FSB có nguồn gốc từ các cục của KGB, thường xuyên hợp tác trong thời kỳ Xô Viết.

Cuộc xâm lược toàn diện Ukraine năm 2022 có thể đã củng cố sự hội tụ này, với cả hai nhóm tập trung hoạt động vào các mục tiêu thuộc lĩnh vực quốc phòng của Ukraine. Đây là một minh chứng rõ ràng cho sự phát triển của các tấn công mạng do nhà nước bảo trợ.

Sự hợp tác này đại diện cho một sự leo thang đáng kể trong khả năng mạng của Nga, kết hợp mạng lưới truy cập rộng lớn của Gamaredon với các công cụ gián điệp tiên tiến của Turla. Đối tác này cho phép nhắm mục tiêu hiệu quả hơn vào các thông tin tình báo có giá trị cao, đồng thời duy trì an ninh hoạt động thông qua việc phân vùng trách nhiệm. Các tổ chức an ninh trên toàn thế giới nên chuẩn bị cho sự phát triển liên tục của bối cảnh mối đe dọa mạng do FSB phối hợp này.