«لاک پشت دریایی» APT ترکیه برای جاسوسی از مخالفان کرد دوباره ظاهر شد

گروهی همسو با منافع دولت ترکیه اخیراً به جاسوسی سایبری با انگیزه سیاسی خود دامن زده است و گروه های مخالف کرد را از طریق اهداف زنجیره تامین با ارزش بالا در اروپا، خاورمیانه و شمال آفریقا هدف قرار داده است.

پس از چند سال دوری از کانون توجه، لاک پشت دریایی (با نام مستعار Teal Kurma، غبار مرمر، سیلیکون یا گرگ کیهانی) اکنون دوباره تحت بررسی قرار گرفته است، اخیراً به لطف کمپین های متعددی که سازمان ها را در هلند هدف قرار داده است. توسط گروه تحقیقاتی Hunt & Hackett ردیابی شده است. Since 2021, victims of these campaigns have spanned targets in media, telecommunications, internet service providers, and IT service providers, with a specific focus on reaching websites associated with Kurds and the Kurdistan Workers’ Party (PKK).

ترکیه دهه‌هاست که با گروه‌های مخالف کرد، که عمدتاً توسط پ‌ک‌ک نمایندگی می‌شود، درگیر بوده است. دهها هزار کردها در هلند زندگی می کنند.

“You can imagine that an attacker aligning with Turkish political interests has significant interest in where the dissident Kurds are in Europe,” warns one member of the Hunt & Hackett research team, who chose to remain anonymous for this story.

Sea Turtle’s Return From Extinction

شواهد فعالیت لاک پشت دریایی به سال 2017 برمی گردد، اما این گروه تنها بود اولین بار در سال 2019 کشف شد. در آن زمان، بیش از 40 سازمان - از جمله بسیاری از آنها در دولت و ارتش - در 13 کشور، به ویژه در خاورمیانه و آفریقا، به خطر افتاد.

Each of those cases involved a DNS hijack, manipulating targets’ DNS records so as to redirect incoming traffic to their own servers, before sending them on to their intended destinations.

پس از سال‌ها، اخبار مربوط به لاک پشت دریایی بسیار پراکنده بوده است. اما همانطور که شواهد اخیر نشان می دهد، هرگز واقعاً از بین نرفت یا حتی آنقدر تغییر نکرد.

For instance, in a typical campaign from early 2023, Hunt & Hackett researchers observed the group accessing an organization’s cPanel Web hosting environment via a VPN connection, then using it to drop an information-gathering Linux reverse shell called “SnappyTCP.”

محقق Hunt & Hackett اذعان می کند که دقیقاً چگونه Sea Turtle اعتبار لازم برای رهگیری ترافیک وب خود را به دست می آورد، مشخص نیست، اما گزینه های موجود برای آنها بی شمار است.

“It could be so many things, because it’s a Web server. You could try and brute force it, you could try leaked credentials, basically anything, especially if the people hosting that Web server are managing it themselves. That could be the case if it’s a smaller organization, where security is something that’s on their agenda, but maybe not so high [up in priority]. Password reuse, standard passwords, we see them all too often everywhere in the world.”

ممکن بود خیلی پیچیده نبوده باشد، اگر بقیه حمله چیزی باشد. برای مثال، ممکن است انتظار داشته باشیم که یک گروه جاسوسی همسو با دولت-ملت به شدت گریزان باشد. در واقع، Sea Turtle برخی از اقدامات احتیاطی اساسی مانند بازنویسی گزارش‌های سیستم لینوکس را انجام داد. از سوی دیگر، بسیاری از ابزارهای حمله خود را بر روی a استاندارد، عمومی (از زمان حذف) حساب GitHub.

In the end, though, the attacks were at least moderately successful. “There was a lot of information going over the line,” the researcher says, perhaps the most sensitive instance being an entire email archive stolen from an organization with close ties to Kurdish political entities.

آیا ترکیه در فضای مجازی نادیده گرفته می شود؟

Hunt & Hackett ده گروه APT را که در ترکیه فعالیت می کنند ردیابی می کند. همه با دولت همسو نیستند، و یک زن و شوهر به اپوزیسیون کرد تعلق دارند، اما حتی با وجود این هشدار، به نظر می رسد که این کشور به نسبت بسیاری از همتایان خود، مطبوعات کمتری دریافت می کند.

محقق می گوید که این تا حدی به دلیل اندازه است.

“If you look at the Lazarus Group, that’s 2,000 people working for North Korea. China has entire hacking programs that are state-sponsored. The sheer volume of attacks from those countries makes them more known and more visible,” he says.

However, he adds, it may also have to do with the nature of the government’s goals in cyberspace, as “the main thing they are known for is political espionage. They want to know where the dissidents are. They want to find the opposition, want to know where they’re at. So the difference with the Iranians, the Russians, is they tend to be a bit more present — especially the Russians, if they deploy ransomware, which is kind of their MO.”

“You notice ransomware,” he says. “Espionage tends to go unnoticed.”

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition