Türgi APT "Merekilpkonn" tõuseb kurdide vastuseisu luurama

Türgi valitsuse huvidega kooskõlas olev rühmitus on viimasel ajal hakanud oma poliitiliselt motiveeritud küberspionaaži sihikule võtma kurdi opositsioonirühmitusi väärtuslike tarneahela sihtmärkide kaudu Euroopas, Lähis-Idas ja Põhja-Aafrikas.

Pärast mõne aasta rambivalgust eemalolekut on merikilpkonn (teise nimega Teal Kurma, Marbled Dust, Silicon või Cosmic Wolf) nüüd taas vaatluse all, viimati tänu mitmele Hollandi organisatsioonidele suunatud kampaaniale. jälgis uurimisrühm Hunt & Hackett. Alates 2021. aastast on nende kampaaniate ohvrid hõlmanud sihtmärke meedias, telekommunikatsioonis, Interneti-teenuse pakkujates ja IT-teenuste pakkujates, keskendudes eelkõige kurdide ja Kurdistani Töölispartei (PKK) seotud veebisaitidele jõudmisele.

Türgi on aastakümneid olnud konfliktis kurdi opositsioonirühmitustega, mida esindab peamiselt PKK. Kümned tuhanded etnilistest kurdidest elab Hollandis.

"Võite ette kujutada, et Türgi poliitiliste huvidega joonduval ründajal on märkimisväärne huvi dissidentlike kurdide asukoha vastu Euroopas," hoiatab üks Hunt & Hacketti uurimisrühma liige, kes otsustas selle loo puhul anonüümseks jääda.

Merikilpkonna tagasipöördumine väljasuremisest

Tõendid merikilpkonna tegevuse kohta pärinevad 2017. aastast, kuid rühm oli ainult esmakordselt avastati 2019. Selleks ajaks oli see juba ohustanud enam kui 40 organisatsiooni, sealhulgas paljusid valitsuses ja sõjaväes, 13 riigis, peamiselt Lähis-Idas ja Aafrikas.

Kõik need juhtumid hõlmasid DNS-i kaaperdamist, manipuleerides sihtmärkide DNS-kirjetega, et suunata sissetulev liiklus enne nende sihtpunktidesse saatmist ümber nende enda serveritesse.

Aastate jooksul on uudised merikilpkonna kohta olnud hõredad. Kuid nagu hiljutised tõendid näitavad, ei kadunud see kunagi ega isegi muutunud nii palju.

Näiteks 2023. aasta alguse tüüpilises kampaanias jälgisid Hunt & Hacketti teadlased, et rühm pääses VPN-ühenduse kaudu ligi organisatsiooni cPaneli veebimajutuskeskkonnale, seejärel kasutas seda teavet koguva Linuxi pöördkesta "SnappyTCP" eemaldamiseks.

Hunt & Hacketti uurija möönab, kuidas Sea Turtle veebiliikluse pealtkuulamiseks vajalikud volikirjad täpselt hangib, kuid nende käsutuses on palju võimalusi.

"See võib olla nii palju asju, sest see on veebiserver. Võite proovida seda toorest jõuga, võite proovida lekkinud mandaate, põhimõtteliselt kõike, eriti kui seda veebiserverit hostivad inimesed seda ise haldavad. See võib juhtuda, kui tegemist on väiksema organisatsiooniga, kus turvalisus on nende päevakorras, kuid võib-olla mitte nii kõrgel kohal. Paroolide taaskasutamine, standardsed paroolid, näeme neid kõikjal maailmas liiga sageli.

See ei pruukinud olla liiga keerukas, kui ülejäänud rünnak on midagi, mida mööda minna. Näiteks võib eeldada, et rahvusriigiga ühinenud spionaažirühm on väga kõrvalehoidev. Tõepoolest, Sea Turtle võttis kasutusele mõned põhilised ettevaatusabinõud, nagu Linuxi süsteemilogide ülekirjutamine. Teisest küljest majutas see paljusid oma ründetööriistu a standardne avalik (alates eemaldamisest) GitHubi konto.

Rünnakud olid lõpuks siiski vähemalt mõõdukalt edukad. "Seal oli palju teavet," ütleb teadlane, võib-olla kõige tundlikum juhtum on terve meiliarhiiv, mis varastati kurdi poliitiliste üksustega tihedalt seotud organisatsioonilt.

Kas Türgi jäetakse küberruumis tähelepanuta?

Hunt & Hackett jälgib kümmet Türgis tegutsevat APT gruppi. Mitte kõik ei ole riigiga joondunud ja paar kuulub kurdi opositsiooni, kuid isegi selle mööndusega näib riik saavat proportsionaalselt vähem ajakirjandust kui paljud tema kolleegid.

See on teadlase sõnul osaliselt tingitud suurusest.

„Kui vaadata Lazaruse gruppi, siis on see 2,000 Põhja-Korea heaks töötavat inimest. Hiinal on terved häkkimisprogrammid, mida toetab riik. Nende riikide rünnakute tohutu hulk muudab need tuntumaks ja nähtavamaks, ”ütleb ta.

Samas lisab ta, et see võib olla seotud ka valitsuse eesmärkide olemusega küberruumis, sest "peamine, mille poolest nad on tuntud, on poliitiline spionaaž. Nad tahavad teada, kus dissidendid on. Nad tahavad leida opositsiooni, tahavad teada, kus nad on. Nii et erinevus iraanlastest venelastest seisneb selles, et nad kipuvad olema natuke rohkem kohal – eriti venelased, kui nad juurutavad lunavara, mis on omamoodi nende MO.

"Te märkate lunavara," ütleb ta. "Spionaaž kipub märkamatuks jääma."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition