Aliança Perigosa: Hackers Gamaredon e Turla Unem Forças para Implantar Backdoor Kazuar v3
Quantum News 
Pesquisadores de segurança cibernética descobriram uma colaboração sem precedentes entre dois grupos de hackers estatais russos, Gamaredon e Turla, que estão unindo suas capacidades para comprometer alvos de alto perfil na Ucrânia. A descoberta, detalhada em um relatório recente da ESET, marca a primeira vez que evidências técnicas vinculam diretamente as operações desses dois grupos, ambos associados ao Serviço Federal de Segurança da Rússia (FSB).
Uma Nova Estratégia Híbrida de Ataque
Historicamente, o Gamaredon (também conhecido como Aqua Blizzard) e o Turla (Secret Blizzard) operavam de formas distintas. O Gamaredon é conhecido por campanhas agressivas e ruidosas de acesso inicial em larga escala, enquanto o Turla é famoso por suas ferramentas de espionagem furtivas e sofisticadas, usadas contra alvos seletos.
A nova investigação revela que essas linhas se cruzaram. Ferramentas do Gamaredon foram observadas implantando e gerenciando o Kazuar, um malware avançado atribuído exclusivamente ao Turla. Segundo a ESET, a ferramenta PteroGraphin do Gamaredon foi utilizada especificamente para reiniciar o backdoor Kazuar v3 em uma máquina comprometida, possivelmente após uma falha no malware original.
Detalhes Técnicos da Infecção
A cadeia de ataque demonstra um nível de coordenação preocupante. O processo envolveu várias etapas complexas:
- Acesso Inicial: O Gamaredon utilizou sua infraestrutura para implantar o PteroGraphin.
- Recuperação e Execução: O PteroGraphin descriptografou o conteúdo para lançar um downloader chamado PteroOdd.
- Implantação do Kazuar: O PteroOdd buscou e executou o Kazuar v3, utilizando técnicas de side-loading através de aplicativos legítimos (como
vncutil64.exe) para evadir a detecção.
Esta sinergia permite que o Turla aproveite o amplo acesso inicial obtido pelo Gamaredon para infiltrar suas ferramentas de espionagem de elite em sistemas críticos, sem a necessidade de desenvolver sua própria cadeia de infecção inicial para cada alvo.
O Backdoor Kazuar v3
O Kazuar é um implante de espionagem escrito em .NET, observado pela primeira vez em 2017. A versão v3, detectada nestes ataques recentes, é significativamente mais robusta. Ela inclui cerca de 35% mais linhas de código do que seu antecessor e introduz novos métodos de transporte de rede, incluindo comunicação via Web Sockets e Exchange Web Services, tornando a exfiltração de dados mais difícil de rastrear.
Impacto e Significado
A cooperação entre um grupo de “acesso em massa” e um grupo de “espionagem de elite” representa uma evolução na estratégia cibernética russa. “Isso sugere que o Turla está interessado apenas em máquinas específicas, provavelmente aquelas contendo inteligência altamente sensível, e confia no Gamaredon para fazer o trabalho sujo de abrir as portas”, observaram os pesquisadores.
Organizações e governos, especialmente em regiões de tensão geopolítica, devem estar alertas para a presença de artefatos do Gamaredon (família Ptero*), pois eles podem ser precursores de uma infecção muito mais profunda e perigosa orquestrada pelo Turla.
