Tyrkisk APT 'Sea Turtle' dukker op igen for at spionere på kurdisk opposition

En gruppe, der er på linje med Tyrkiets regerings interesser, har på det seneste skruet op for sin politisk motiverede cyberspionage, rettet mod kurdiske oppositionsgrupper gennem forsyningskædemål af høj værdi i Europa, Mellemøsten og Nordafrika.

Efter nogle år uden for rampelyset er Sea Turtle (alias Teal Kurma, Marbled Dust, Silicon eller Cosmic Wolf) nu tilbage under kontrol, senest takket være adskillige kampagner rettet mod organisationer i Holland, sporet af forskningsgruppen Hunt & Hackett. Siden 2021 har ofre for disse kampagner spændt over mål i medier, telekommunikation, internetudbydere og it-tjenesteudbydere med et specifikt fokus på at nå hjemmesider med tilknytning til kurdere og Kurdistan Workers' Party (PKK).

Tyrkiet har været i konflikt med kurdiske oppositionsgrupper, primært repræsenteret af PKK, i årtier. Titusinder af etniske kurdere bor i Holland.

"Du kan forestille dig, at en angriber, der tilslutter sig tyrkiske politiske interesser, har betydelig interesse i, hvor de dissidente kurdere befinder sig i Europa," advarer et medlem af Hunt & Hackett-forskningsteamet, som valgte at forblive anonym for denne historie.

Havskildpaddens tilbagevenden fra udryddelse

Beviser for havskildpaddes aktivitet går tilbage til 2017, men gruppen var kun først opdaget i 2019. På det tidspunkt havde den allerede kompromitteret mere end 40 organisationer - inklusive mange i regeringen og militæret - fordelt på 13 lande, primært i Mellemøsten og Afrika.

Hvert af disse tilfælde involverede et DNS-kapring, der manipulerede måls DNS-poster for at omdirigere indgående trafik til deres egne servere, før de blev sendt videre til deres tilsigtede destinationer.

I flere år siden har nyheder om havskildpadde været sparsomme. Men som nyere beviser indikerer, gik det aldrig rigtig væk eller ændrede sig så meget.

For eksempel observerede Hunt & Hackett-forskere i en typisk kampagne fra begyndelsen af ​​2023, at gruppen fik adgang til en organisations cPanel-webhostingmiljø via en VPN-forbindelse og derefter brugte den til at droppe en omvendt Linux-shell, der indsamler information, kaldet "SnappyTCP."

Præcis hvordan Sea Turtle opnår de legitimationsoplysninger, der er nødvendige for at udføre sin internettrafikaflytning, er uklart, indrømmer Hunt & Hackett-forskeren, men de tilgængelige muligheder for dem er utallige.

“Det kan være så mange ting, fordi det er en webserver. Du kan prøve at brute force det, du kan prøve lækkede legitimationsoplysninger, dybest set hvad som helst, især hvis de mennesker, der hoster den webserver, administrerer det selv. Det kunne være tilfældet, hvis det er en mindre organisation, hvor sikkerhed er noget, der er på deres dagsorden, men måske ikke så højt [prioriteret]. Adgangskodegenbrug, standardadgangskoder, vi ser dem alt for ofte overalt i verden."

Det var måske ikke alt for sofistikeret, hvis resten af ​​angrebet var noget at gå efter. For eksempel kunne man forvente, at en nationalstatsforbundet spiongruppe er meget undvigende. Faktisk tog Sea Turtle nogle grundlæggende forholdsregler som at overskrive Linux-systemlogfiler. På den anden side var den vært for mange af sine angrebsværktøjer på en standard, offentlig (siden fjernet) GitHub-konto.

I sidste ende var angrebene dog i det mindste moderat vellykkede. "Der var en masse information, der gik over stregen," siger forskeren, og måske det mest følsomme tilfælde var et helt e-mail-arkiv stjålet fra en organisation med tætte bånd til kurdiske politiske enheder.

Er Tyrkiet overset i cyberspace?

Hunt & Hackett sporer ti APT-grupper, der opererer i Tyrkiet. Ikke alle er på linje med staten, og et par tilhører den kurdiske opposition, men selv med det forbehold ser landet ud til at modtage forholdsmæssigt mindre presse end mange af dets modstykker.

Det, siger forskeren, skyldes delvist størrelsen.

"Hvis man ser på Lazarus Group, er det 2,000 mennesker, der arbejder for Nordkorea. Kina har hele hackingprogrammer, der er statssponsoreret. Alene mængden af ​​angreb fra de lande gør dem mere kendte og mere synlige,” siger han.

Men, tilføjer han, kan det også have at gøre med karakteren af ​​regeringens mål i cyberspace, da "det vigtigste, de er kendt for, er politisk spionage. De vil gerne vide, hvor dissidenterne er. De vil finde oppositionen, vil vide, hvor de er. Så forskellen med iranerne, russerne, er, at de har en tendens til at være lidt mere til stede - især russerne, hvis de implementerer ransomware, hvilket er en slags deres MO."

"Du bemærker ransomware," siger han. "Spionage har en tendens til at gå ubemærket hen."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition