Russische Top-Hackergruppen Gamaredon und Turla greifen gemeinsam ukrainische Spitzenziele an
Eine Gruppe verschafft Zugang, die andere visiert ausgewählte Hochwertziele an
Jena (pts017/19.09.2025/13:00)
Die Malware-Forscher des IT-Sicherheitsherstellers ESET haben erstmals belegt, dass die beiden berüchtigten Hackergruppen Gamaredon und Turla gemeinsam in der Ukraine vorgehen. Beide werden dem russischen Inlandsgeheimdienst FSB zugeordnet. ESET registrierte auf kompromittierten Rechnern Tools von Gamaredon sowie den Kazuar-Schädling von Turla. In einzelnen Fällen konnten Turla-Akteure sogar Befehle über die Vorarbeit von Gamaredon ausführen. Die detaillierte Analyse hat ESET auf www.welivesecurity.de veröffentlicht.
"Wir haben Turla in diesem Jahr auf sieben Rechnern in der Ukraine nachgewiesen. Gamaredon befällt parallel Hunderte, wenn nicht Tausende Systeme. Das spricht dafür, dass Turla sich gezielt wenige und besonders wertvolle Ziele aussucht", sagt Matthieu Faou aus dem ESET Research Team.
Wer gefährdet ist
Nach ESET-Erkenntnissen richten sich die aktuellen Aktivitäten auf hochrangige Ziele in der Ukraine wie Behörden oder Einrichtungen mit sensiblen Informationen. Turla ist seit Jahren für sehr zielgenaue Spionageoperationen bekannt, Gamaredon für eine große Zahl schneller Kompromittierungen. Beides zusammen erhöht den Druck auf besonders schützenswerte Stellen.
ESET fand zudem einen Installer, der von einem Konto in Kirgisistan hochgeladen wurde. Das deutet darauf hin, dass Turla auch außerhalb der Ukraine einzelne Ziele im Blick hat.
Warum das so gefährlich ist
Dass zwei etablierte Gruppen kooperieren, verstärkt Wirkung und Tempo von Angriffen. Gamaredon verschafft den ersten Zugriff über Spear Phishing mit präparierten LNK-Dateien oder durch manipulierte Office-Dokumente. Turla nutzt den Zugang dann für ausgewählte Spionageziele. Beide Gruppen werden separaten Abteilungen des FSB zugerechnet.
In einem dokumentierten Fall setzte Gamaredon das eigene Tool PteroGraphin ein, um Turla-Malware auf einem ukrainischen System neu zu starten. Später tauchten weitere Beispiele auf, bei denen Kazuar mit den Gamaredon-Werkzeugen PteroOdd und PteroPaste ausgerollt wurde. Das ist der erste technisch belegte Nachweis einer Zusammenarbeit beider Gruppen.
Wer hinter Gamaredon und Turla steckt
- Gamaredon: Seit Jahren aktive Gruppe mit hoher Kampagnenfrequenz. Ziel sind schnelle Kompromittierungen vieler Systeme in der Ukraine, oft über einfache, aber effektive Taktiken.
- Turla: Sehr selektiv und technisch versiert. Bekannt für langlebige Spionageoperationen und eigene Backdoors wie Kazuar.
So reagieren Organisationen jetzt sinnvoll
Auch wenn die aktuelle Kampagne vor allem auf die Ukraine zielt, machen Taktiken und Werkzeuge vor Grenzen nicht halt. Phishing-Kampagnen, schnell wechselnde Infrastrukturen und geteilte Dienstleister können auch deutsche Unternehmen treffen. Hinzu kommt das Risiko über Lieferketten, Tochtergesellschaften, gemeinsame Cloud-Dienste oder internationale Partner. Wer vorbereitet ist, reduziert die Gefahr von Kollateralschäden deutlich.
1. Mitarbeiter sensibilisieren: Gamaredon setzt häufig auf Spear-Phishing und präparierte LNK-Dateien. Schulungen und klare Regeln zum Umgang mit Anhängen und Wechselmedien sind Pflicht.
2. Erkennung und Response stärken: EDR oder XDR einsetzen. Protokolle zentral auswerten. Alarmwege festlegen und testen.
3. Systemhygiene sichern: Patches zügig einspielen. Administratorrechte beschränken. Zugänge mit Mehrfaktor-Authentifizierung absichern.
4. Backups prüfen: Kritische Daten regelmäßig sichern und Wiederherstellung testen.
Weitere technische Details, Zeitlinien sowie Indikatoren zur Erkennung veröffentlicht ESET im Research-Blog www.welivesecurity.de.
(Ende)| Aussender: | ESET Deutschland GmbH |
| Ansprechpartner: | Michael Klatte |
| Tel.: | +49 (0) 3641-3114-257 |
| E-Mail: | michael.klatte@eset.de |
| Website: | www.eset.de |
