俄罗斯黑客联手：Gamaredon与Turla协同攻击乌克兰

ESET报告显示，与俄罗斯联邦安全局（FSB）关联的Gamaredon和Turla黑客组织正在合作对乌克兰进行网络攻击。

威胁组织背景

Gamaredon自2013年开始活跃，主要针对乌克兰政府机构。该组织以高频率、机会主义的攻击活动著称，经常通过鱼叉式网络钓鱼和可移动驱动器上的恶意LNK文件获取访问权限。

Turla（又名Snake）是一个老牌间谍组织，至少从2004年就开始运作。该组织以对欧洲、中亚和中东的政府及外交实体实施精准攻击而闻名，曾入侵美国国防部（2008年）和瑞士国防公司RUAG。

合作证据

ESET在2025年的研究发现了两组之间的技术联系：

• Turla的Kazuar后门通过Gamaredon的工具（PteroGraphin和PteroOdd）在乌克兰系统上执行
• PteroGraphin似乎会重启Kazuar v3后门，可能作为崩溃或启动失败后的恢复方法

Kazuar是一种先进的C#间谍植入程序，被认为是Turla专属工具。其功能包括广泛的命令支持，可用于凭据窃取、文件操作和系统侦察。该工具集与Gamaredon的访问操作整合，是首次将这两个组织联系起来的直接技术证据。

战略影响

这种合作融合了互补优势：

• Gamaredon的大规模入侵能力
• Turla的精密攻击技术

虽然Gamaredon入侵了数百或数千台乌克兰机器，但Turla似乎专注于其中可能包含高度敏感情报的少数系统。

这种合作很可能反映了俄罗斯2022年全面入侵乌克兰后产生的作战需求。分析人士认为，乌克兰已成为莫斯科先进网络战术的试验场，成功的技术随后会被部署到其他地方。

通过将持久性与精英能力相结合，FSB获得了一种更有效渗透关键网络的机制。

全球安全考量

Gamaredon-Turla合作标志着国家支持网络行动的转变：

• 精英与大规模间谍团队之间的界限正在模糊
• 情报机构可以将专用植入程序与高容量感染活动配对
• 这种整合可能加大政府、国防承包商和其他高价值组织的风险

组织应采取分层防御措施，包括：

• 供应链映射
• 特权访问限制
• 远程会话记录和持续审计

这些措施有助于减轻Gamaredon提供的初始访问和Turla进行的隐蔽利用。

Gamaredon与Turla合作的发现标志着俄罗斯网络战略进入新阶段。通过将持续不断的入侵活动与先进的间谍工具相结合，这些FSB部门创造了一个既广泛又深入的威胁。

随着地缘政治紧张局势持续，防御者必须准备好应对那些在其行动中结合规模、精密性和战略意图的国家行为者。