Türkische APT-„Meeresschildkröte“ taucht wieder auf, um kurdische Opposition auszuspionieren

Eine Gruppe, die mit den Interessen der türkischen Regierung in Einklang steht, hat in letzter Zeit ihre politisch motivierte Cyberspionage intensiviert und kurdische Oppositionsgruppen über hochwertige Lieferkettenziele in Europa, im Nahen Osten und in Nordafrika ins Visier genommen.

Nachdem Sea Turtle (auch bekannt als Teal Kurma, Marbled Dust, Silicon oder Cosmic Wolf) einige Jahre lang nicht im Rampenlicht stand, steht es nun wieder unter Beobachtung, zuletzt dank mehrerer Kampagnen, die sich an Organisationen in den Niederlanden richteten. verfolgt von der Forschungsgruppe Hunt & Hackett. Seit 2021 richten sich die Opfer dieser Kampagnen auf Medien, Telekommunikation, Internet- und IT-Dienstleister, wobei der Schwerpunkt insbesondere auf Websites liegt, die mit Kurden und der Arbeiterpartei Kurdistans (PKK) in Verbindung stehen.

Die Türkei steht seit Jahrzehnten im Konflikt mit kurdischen Oppositionsgruppen, vor allem vertreten durch die PKK. Zehntausende der ethnischen Kurden leben in den Niederlanden.

„Sie können sich vorstellen, dass ein Angreifer, der sich mit türkischen politischen Interessen verbündet, erhebliches Interesse daran hat, wo sich die dissidenten Kurden in Europa aufhalten“, warnt ein Mitglied des Forschungsteams von Hunt & Hackett, das für diese Geschichte anonym bleiben möchte.

Die Rückkehr der Meeresschildkröte vom Aussterben

Hinweise auf die Aktivität von Meeresschildkröten reichen bis ins Jahr 2017 zurück, die Gruppe existierte jedoch nur zuerst in 2019 entdeckt. Zu diesem Zeitpunkt waren bereits mehr als 40 Organisationen – darunter viele in der Regierung und im Militär – in 13 Ländern, vor allem im Nahen Osten und in Afrika, kompromittiert worden.

In jedem dieser Fälle handelte es sich um einen DNS-Hijack, bei dem die DNS-Einträge der Opfer manipuliert wurden, um den eingehenden Datenverkehr auf deren eigene Server umzuleiten, bevor er an die vorgesehenen Ziele weitergeleitet wurde.

Seitdem gibt es nur wenige Nachrichten über Meeresschildkröten. Aber wie jüngste Erkenntnisse zeigen, ist es nie wirklich verschwunden oder hat sich auch nur so sehr verändert.

Beispielsweise beobachteten Forscher von Hunt & Hackett in einer typischen Kampagne Anfang 2023, wie die Gruppe über eine VPN-Verbindung auf die cPanel-Webhosting-Umgebung einer Organisation zugriff und diese dann nutzte, um eine informationssammelnde Linux-Reverse-Shell namens „SnappyTCP“ abzuwerfen.

Der Forscher von Hunt & Hackett räumt ein, dass Sea Turtle nicht genau weiß, wie Sea Turtle an die für das Abfangen des Web-Verkehrs erforderlichen Anmeldeinformationen gelangt, aber die Optionen, die ihnen zur Verfügung stehen, sind zahllos.

„Es könnten so viele Dinge sein, weil es ein Webserver ist. Sie könnten es mit Brute-Force versuchen, Sie könnten es mit durchgesickerten Anmeldeinformationen versuchen, im Grunde mit allem, insbesondere wenn die Leute, die diesen Webserver hosten, ihn selbst verwalten. Das könnte der Fall sein, wenn es sich um eine kleinere Organisation handelt, bei der Sicherheit auf der Agenda steht, aber möglicherweise nicht so hohe Priorität hat. Wiederverwendung von Passwörtern, Standardpasswörter, wir sehen sie allzu oft überall auf der Welt.“

Wenn man dem Rest des Angriffs Glauben schenken kann, war er vielleicht nicht allzu ausgeklügelt. Beispielsweise könnte man von einer nationalstaatlich verbündeten Spionagegruppe ein äußerst ausweichendes Verhalten erwarten. Tatsächlich hat Sea Turtle einige grundlegende Vorsichtsmaßnahmen getroffen, wie zum Beispiel das Überschreiben von Linux-Systemprotokollen. Andererseits wurden viele seiner Angriffstools auf einem gehostet standardmäßiges, öffentliches (inzwischen entferntes) GitHub-Konto.

Am Ende waren die Angriffe jedoch zumindest mäßig erfolgreich. „Es gingen viele Informationen über die Grenze“, sagt der Forscher. Der vielleicht heikelste Vorfall war der Diebstahl eines kompletten E-Mail-Archivs einer Organisation mit engen Verbindungen zu kurdischen politischen Einheiten.

Wird die Türkei im Cyberspace übersehen?

Hunt & Hackett verfolgt zehn in der Türkei tätige APT-Gruppen. Nicht alle sind mit dem Staat verbündet, und einige gehören der kurdischen Opposition an, aber trotz dieser Einschränkung scheint das Land verhältnismäßig weniger Presse zu erhalten als viele seiner Pendants.

Das liege zum Teil an der Größe, sagt der Forscher.

„Wenn man sich die Lazarus-Gruppe ansieht, sind das 2,000 Menschen, die für Nordkorea arbeiten. In China gibt es ganze Hacking-Programme, die staatlich gefördert werden. Die schiere Menge an Angriffen aus diesen Ländern macht sie bekannter und sichtbarer“, sagt er.

Er fügt jedoch hinzu, dass dies möglicherweise auch mit der Art der Ziele der Regierung im Cyberspace zu tun habe, denn „sie sind vor allem für politische Spionage bekannt.“ Sie wollen wissen, wo die Dissidenten sind. Sie wollen die Opposition finden, wollen wissen, wo sie stehen. Der Unterschied zu den Iranern und den Russen besteht also darin, dass sie tendenziell etwas präsenter sind – insbesondere die Russen, wenn sie Ransomware einsetzen, was sozusagen ihr MO ist.“

„Sie bemerken Ransomware“, sagt er. „Spionage bleibt meist unbemerkt.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition