Το τουρκικό APT «Sea Turtle» επανεμφανίζεται για να κατασκοπεύει την κουρδική αντιπολίτευση

Μια ομάδα που ευθυγραμμίζεται με τα συμφέροντα της κυβέρνησης της Τουρκίας εντείνει την κυβερνοκατασκοπεία της με πολιτικά κίνητρα, στοχεύοντας ομάδες κουρδικής αντιπολίτευσης μέσω στόχων αλυσίδας εφοδιασμού υψηλής αξίας στην Ευρώπη, τη Μέση Ανατολή και τη Βόρεια Αφρική.

Μετά από μερικά χρόνια μακριά από τα φώτα της δημοσιότητας, η Sea Turtle (γνωστή και ως Teal Kurma, Marbled Dust, Silicon ή Cosmic Wolf) βρίσκεται τώρα ξανά υπό έλεγχο, πιο πρόσφατα χάρη σε πολλές καμπάνιες που στοχεύουν οργανισμούς στην Ολλανδία, παρακολουθείται από την ερευνητική ομάδα Hunt & Hackett. Από το 2021, τα θύματα αυτών των εκστρατειών έχουν καλύψει στόχους σε μέσα ενημέρωσης, τηλεπικοινωνίες, παρόχους υπηρεσιών διαδικτύου και παρόχους υπηρεσιών πληροφορικής, με ιδιαίτερη έμφαση στην πρόσβαση σε ιστότοπους που σχετίζονται με τους Κούρδους και το Εργατικό Κόμμα του Κουρδιστάν (PKK).

Η Τουρκία βρίσκεται σε σύγκρουση με ομάδες της κουρδικής αντιπολίτευσης, που εκπροσωπούνται κυρίως από το PKK, εδώ και δεκαετίες. Δεκάδες χιλιάδες εθνικών Κούρδων ζουν στην Ολλανδία.

«Μπορείτε να φανταστείτε ότι ένας επιτιθέμενος που ευθυγραμμίζεται με τα τουρκικά πολιτικά συμφέροντα έχει σημαντικό ενδιαφέρον για το πού βρίσκονται οι αντιφρονούντες Κούρδοι στην Ευρώπη», προειδοποιεί ένα μέλος της ερευνητικής ομάδας Hunt & Hackett, που επέλεξε να παραμείνει ανώνυμο για αυτήν την ιστορία.

Η επιστροφή της θαλάσσιας χελώνας από την εξαφάνιση

Τα στοιχεία της δραστηριότητας της θαλάσσιας χελώνας χρονολογούνται από το 2017, αλλά η ομάδα ήταν μόνο ανακαλύφθηκε για πρώτη φορά το 2019. Μέχρι εκείνη την εποχή, είχε ήδη θέσει σε κίνδυνο περισσότερους από 40 οργανισμούς - συμπεριλαμβανομένων πολλών στην κυβέρνηση και τον στρατό - εξαπλωμένοι σε 13 χώρες, κυρίως στη Μέση Ανατολή και την Αφρική.

Κάθε μία από αυτές τις περιπτώσεις περιλάμβανε αεροπειρατεία DNS, χειρισμό των εγγραφών DNS των στόχων, ώστε να ανακατευθύνει την εισερχόμενη κίνηση στους δικούς τους διακομιστές, πριν την αποστολή τους στους προορισμούς τους.

Μετά από χρόνια, τα νέα για τη Sea Turtle ήταν αραιά. Όμως, όπως δείχνουν τα πρόσφατα στοιχεία, δεν εξαφανίστηκε ποτέ, ούτε άλλαξε τόσο πολύ.

Για παράδειγμα, σε μια τυπική καμπάνια από τις αρχές του 2023, οι ερευνητές της Hunt & Hackett παρατήρησαν την ομάδα να αποκτά πρόσβαση στο περιβάλλον φιλοξενίας Web cPanel ενός οργανισμού μέσω μιας σύνδεσης VPN, και στη συνέχεια να το χρησιμοποιεί για να απορρίψει ένα αντίστροφο κέλυφος Linux που συλλέγει πληροφορίες που ονομάζεται "SnappyTCP".

Ο ακριβής τρόπος με τον οποίο η Sea Turtle αποκτά τα διαπιστευτήρια που απαιτούνται για να πραγματοποιήσει την υποκλοπή της διαδικτυακής της κυκλοφορίας είναι ασαφές, παραδέχεται ο ερευνητής της Hunt & Hackett, αλλά οι επιλογές που έχουν στη διάθεσή τους είναι μυριάδες.

«Θα μπορούσε να είναι τόσα πολλά πράγματα, επειδή είναι ένας διακομιστής Ιστού. Θα μπορούσατε να δοκιμάσετε και να το εξαναγκάσετε, θα μπορούσατε να δοκιμάσετε διαπιστευτήρια που διέρρευσαν, βασικά οτιδήποτε, ειδικά εάν τα άτομα που φιλοξενούν αυτόν τον διακομιστή Ιστού τον διαχειρίζονται οι ίδιοι. Αυτό θα μπορούσε να ισχύει εάν πρόκειται για έναν μικρότερο οργανισμό, όπου η ασφάλεια είναι κάτι που είναι στην ατζέντα τους, αλλά ίσως όχι τόσο υψηλό [προτεραιότητα]. Επαναχρησιμοποίηση κωδικών πρόσβασης, τυπικοί κωδικοί πρόσβασης, τα βλέπουμε πολύ συχνά παντού στον κόσμο."

Μπορεί να μην ήταν υπερβολικά εξελιγμένο, αν το υπόλοιπο της επίθεσης είναι κάτι που πρέπει να περάσει. Για παράδειγμα, θα μπορούσε κανείς να περιμένει ότι μια ομάδα κατασκοπείας ευθυγραμμισμένη με το έθνος-κράτος θα είναι ιδιαίτερα υπεκφυγή. Πράγματι, η Sea Turtle έλαβε ορισμένες βασικές προφυλάξεις, όπως η αντικατάσταση αρχείων καταγραφής συστήματος Linux. Από την άλλη, φιλοξένησε πολλά από τα εργαλεία επίθεσης του σε α τυπικός, δημόσιος (αφού καταργήθηκε) λογαριασμός GitHub.

Στο τέλος, όμως, οι επιθέσεις ήταν τουλάχιστον μέτρια επιτυχείς. «Υπήρχαν πολλές πληροφορίες», λέει ο ερευνητής, ίσως η πιο ευαίσθητη περίπτωση ήταν ένα ολόκληρο αρχείο email που κλάπηκε από έναν οργανισμό με στενούς δεσμούς με κουρδικές πολιτικές οντότητες.

Παραβλέπεται η Τουρκία στον κυβερνοχώρο;

Η Hunt & Hackett παρακολουθεί δέκα ομάδες APT που δραστηριοποιούνται στην Τουρκία. Δεν είναι όλοι ευθυγραμμισμένοι με το κράτος και ένα ζευγάρι ανήκει στην κουρδική αντιπολίτευση, αλλά ακόμη και με αυτήν την επιφύλαξη, η χώρα φαίνεται να δέχεται αναλογικά λιγότερο Τύπο από πολλούς από τους ομολόγους της.

Αυτό, λέει ο ερευνητής, οφείλεται εν μέρει στο μέγεθος.

«Αν κοιτάξετε το Lazarus Group, αυτό είναι 2,000 άνθρωποι που εργάζονται για τη Βόρεια Κορέα. Η Κίνα έχει ολόκληρα προγράμματα hacking που χρηματοδοτούνται από το κράτος. Ο τεράστιος όγκος των επιθέσεων από αυτές τις χώρες τις κάνει πιο γνωστές και πιο ορατές», λέει.

Ωστόσο, προσθέτει, μπορεί να έχει να κάνει και με τη φύση των στόχων της κυβέρνησης στον κυβερνοχώρο, καθώς «το κύριο πράγμα για το οποίο είναι γνωστοί είναι η πολιτική κατασκοπεία. Θέλουν να μάθουν πού βρίσκονται οι αντιφρονούντες. Θέλουν να βρουν την αντιπολίτευση, θέλουν να μάθουν πού βρίσκονται. Έτσι, η διαφορά με τους Ιρανούς, τους Ρώσους, είναι ότι τείνουν να είναι λίγο πιο παρόντες – ειδικά οι Ρώσοι, αν αναπτύξουν ransomware, το οποίο είναι ένα είδος MO τους».

"Παρατηρείτε ransomware", λέει. «Η κατασκοπεία τείνει να περνά απαρατήρητη».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition