Turkkilainen APT "Sea Turtle" nousee esiin kurdioppositiota vakoilemassa

Turkin hallituksen etujen mukainen ryhmä on viime aikoina nostanut poliittista motivaatiota kybervakoiluaan kohdentaen kurdioppositioryhmiä arvokkaiden toimitusketjukohteiden kautta Euroopassa, Lähi-idässä ja Pohjois-Afrikassa.

Muutaman vuoden parrasvaloista poistunut merikilpikonna (alias Teal Kurma, Marbled Dust, Silicon tai Cosmic Wolf) on nyt jälleen tarkastelun kohteena, viimeksi useiden Alankomaiden organisaatioihin kohdistettujen kampanjoiden ansiosta. tutkijaryhmä Hunt & Hackett. Vuodesta 2021 lähtien näiden kampanjoiden uhrit ovat kattaneet kohteita median, televiestinnän, Internet-palveluntarjoajien ja IT-palveluntarjoajien keskuudessa. Erityisesti on keskitytty kurdeihin ja Kurdistanin työväenpuolueeseen (PKK) liittyviin verkkosivustoihin.

Turkki on jo vuosikymmeniä ollut konfliktissa pääasiassa PKK:n edustamien kurdien oppositioryhmien kanssa. Kymmeniä tuhansia etnisistä kurdeista asuu Alankomaissa.

"Voit kuvitella, että turkkilaisten poliittisten etujen mukaisella hyökkääjällä on merkittävää kiinnostusta siitä, missä toisinajattelijat kurdit ovat Euroopassa", varoittaa eräs Hunt & Hackett -tutkimusryhmän jäsen, joka päätti pysyä nimettömänä tämän tarinan suhteen.

Merikilpikonnan paluu sukupuuttoon

Todisteet merikilpikonnan toiminnasta ovat peräisin vuodelta 2017, mutta ryhmä oli vain löydettiin ensimmäisen kerran vuonna 2019. Siihen mennessä se oli jo vaarantanut yli 40 organisaatiota – joista monet olivat hallituksessa ja armeijassa – 13 maassa, pääasiassa Lähi-idässä ja Afrikassa.

Kukin näistä tapauksista liittyi DNS-kaappaukseen, joka manipuloi kohteiden DNS-tietueita ohjatakseen tulevaa liikennettä heidän omille palvelimilleen ennen niiden lähettämistä aiottuihin kohteisiin.

Vuosien aikana uutiset merikilpikonnasta ovat olleet harvassa. Mutta kuten viimeaikaiset todisteet osoittavat, se ei koskaan mennyt pois tai edes muuttunut niin paljon.

Esimerkiksi tyypillisessä vuoden 2023 alussa alkaneessa kampanjassa Hunt & Hackettin tutkijat havaitsivat ryhmän pääsevän organisaation cPanel-verkkohotelliympäristöön VPN-yhteyden kautta ja pudottamaan sen jälkeen tietoja keräävän Linuxin käänteisen kuoren nimeltä "SnappyTCP".

Hunt & Hackettin tutkija myöntää, kuinka Sea Turtle saa tarkalleen verkkoliikenteen sieppaamiseen tarvittavat valtuustiedot, mutta heidän käytettävissään on lukemattomia vaihtoehtoja.

"Se voi olla niin monia asioita, koska se on web-palvelin. Voit yrittää raa'alla väkivallalla sitä, voit kokeilla vuotaneita valtuustietoja, periaatteessa mitä tahansa, varsinkin jos sitä verkkopalvelinta isännöivät ihmiset itse. Näin voi olla, jos kyseessä on pienempi organisaatio, jossa turvallisuus on heidän asialistallaan, mutta ei ehkä niin korkealla [prioriteetti]. Salasanojen uudelleenkäyttö, vakiosalasanat, näemme niitä aivan liian usein kaikkialla maailmassa."

Se ei ehkä olisi ollut liian hienostunut, jos hyökkäyksen loppuosa on mitä tahansa. Voidaan esimerkiksi olettaa, että kansallisvaltioihin sitoutunut vakoiluryhmä on erittäin välttelevä. Sea Turtle todellakin otti joitain perusvarotoimia, kuten ylikirjoitti Linux-järjestelmälokit. Toisaalta se isännöi monia hyökkäystyökalujaan a tavallinen, julkinen (poiston jälkeen) GitHub-tili.

Lopulta hyökkäykset onnistuivat kuitenkin ainakin kohtalaisesti. "Ravin yli meni paljon tietoa", tutkija sanoo. Ehkä arkaluontoisin tapaus oli kokonainen sähköpostiarkisto, joka varastettiin organisaatiolta, jolla on läheiset siteet kurdipoliittisiin yksiköihin.

Onko Turkki unohdettu kyberavaruudessa?

Hunt & Hackett seuraa kymmentä Turkissa toimivaa APT-ryhmää. Kaikki eivät ole valtion linjassa, ja pari kuuluu kurdioppositioon, mutta tästäkin varoituksesta huolimatta maa näyttää saavan suhteellisesti vähemmän lehdistöä kuin monet sen kollegansa.

Se johtuu tutkijan mukaan osittain koosta.

"Jos katsotaan Lazarus Groupia, se on 2,000 XNUMX ihmistä, jotka työskentelevät Pohjois-Korean hyväksi. Kiinalla on kokonaisia ​​hakkerointiohjelmia, jotka ovat valtion tukemia. Näistä maista tulevien hyökkäysten valtava määrä tekee niistä tunnetumpia ja näkyvämpiä", hän sanoo.

Hän kuitenkin lisää, että se voi liittyä myös hallituksen tavoitteiden luonteeseen kyberavaruudessa, sillä "pääasia, josta heidät tunnetaan, on poliittinen vakoilu. He haluavat tietää, missä toisinajattelijat ovat. He haluavat löytää opposition, haluavat tietää missä he ovat. Erona iranilaisiin, venäläisiin, on siis se, että he ovat yleensä hieman enemmän läsnä – varsinkin venäläiset, jos he käyttävät kiristysohjelmia, mikä on tavallaan heidän MO.

"Huomaat kiristysohjelman", hän sanoo. "Vakoilu jää yleensä huomaamatta."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition