Các nhóm hacker Nga vốn được xem là đối thủ nhiều năm qua nay dường như đang hợp tác trong loạt chiến dịch mới nhắm vào Ukraine. Nghiên cứu từ công ty an ninh mạng ESET cho thấy dấu hiệu rõ ràng khi Turla – một trong những nhóm hacker tinh vi nhất của Moscow – đã khai thác chính hệ thống mà Gamaredon từng xâm nhập.
Turla tận dụng hạ tầng của Gamaredon
Trong tháng 2, ESET phát hiện bốn máy tính tại Ukraine đồng thời bị cả hai nhóm kiểm soát. Gamaredon triển khai các loại mã độc quen thuộc như PteroLNK, PteroStew hay PteroGraphin, trong khi Turla cài đặt backdoor Kazuar để chiếm quyền điều khiển sâu hơn. Thậm chí, các nhà nghiên cứu quan sát thấy Turla gửi lệnh qua chính công cụ của Gamaredon, cho thấy sự phối hợp kỹ thuật giữa hai bên.
Điều này lặp lại vào tháng 4 và 6, khi mã độc Gamaredon được dùng để cài đặt phiên bản Kazuar mới. Dù chưa rõ nguồn gốc ban đầu của các cuộc tấn công, mức độ lặp lại và tính hệ thống khiến ESET kết luận rằng sự hợp tác là khả dĩ hơn việc chiếm đoạt hạ tầng.
Gamaredon và Turla: từ đối thủ thành đồng minh
Điểm đáng chú ý là phong cách hoạt động của hai nhóm vốn rất khác biệt. Turla, xuất hiện từ năm 2004, nổi tiếng với các chiến dịch nhắm vào mục tiêu giá trị cao, hoạt động âm thầm trong nhiều năm mà khó bị phát hiện. Họ từng bị quy trách nhiệm trong vụ tấn công hệ thống mật của Lầu Năm Góc năm 2008, cũng như các cơ quan ngoại giao châu Âu. Trong khi đó, Gamaredon lại thường xuyên thực hiện các cuộc tấn công quy mô lớn, ồn ào và ít chú trọng đến ẩn mình, chủ yếu thông qua email giả mạo hoặc tệp shortcut độc hại.
Trong quá khứ, Turla từng chiếm quyền hạ tầng của các nhóm khác, kể cả nhóm liên quan Iran năm 2019 hay các nhóm tội phạm tài chính năm 2024. Tuy nhiên, ESET nhận định lần này Gamaredon có thể chủ động nhường quyền truy cập cho Turla. Cả hai nhóm đều được cho là thuộc Cơ quan An ninh Liên bang Nga (FSB), nhưng nằm ở các trung tâm khác nhau: Gamaredon liên quan đến Center 18, còn Turla thuộc Center 16.
Các chuyên gia cho rằng Gamaredon có thể đảm nhận nhiệm vụ xâm nhập diện rộng, trong khi Turla tập trung khai thác những hệ thống giá trị cao. Sự kết hợp này giúp Nga có được cả phạm vi rộng lẫn chiều sâu trong hoạt động gián điệp mạng.
Bối cảnh an ninh mạng Ukraine thêm phức tạp
Việc các nhóm hacker Nga bắt tay không phải là điều mới lạ hoàn toàn. Năm 2020, từng có báo cáo Gamaredon cho phép nhóm InvisiMole tiếp cận hệ thống bị xâm nhập. Với bối cảnh chiến sự tại Ukraine, mức độ hợp tác này càng gia tăng.
Lịch sử cũng cho thấy sự liên kết: Turla có nguồn gốc từ Cục 16 của KGB, chuyên phụ trách tình báo tín hiệu, còn Gamaredon gắn với Cục 2 của KGB, phụ trách an ninh nội địa. Trong thời Liên Xô, hai đơn vị này từng hợp tác chặt chẽ, và giờ đây mối quan hệ đó dường như tiếp diễn trong không gian mạng.
Theo ESET, bằng chứng mới nhất cho thấy ranh giới giữa phong cách tấn công ồ ạt của Gamaredon và chiến thuật tinh vi của Turla đang dần mờ nhạt. Sự kết hợp này tạo ra thách thức lớn cho lực lượng phòng thủ mạng Ukraine, đồng thời phản ánh cách các nhóm hacker Nga đang tái cấu trúc để phục vụ mục tiêu chiến lược trong cuộc xung đột hiện tại.