La « tortue de mer » turque de l’APT refait surface pour espionner l’opposition kurde

Un groupe aligné sur les intérêts du gouvernement turc a récemment intensifié son cyber-espionnage à motivation politique, ciblant les groupes d’opposition kurdes via des cibles de chaîne d’approvisionnement de grande valeur en Europe, au Moyen-Orient et en Afrique du Nord.

Après quelques années passée à l'écart des projecteurs, Sea Turtle (alias Teal Kurma, Marbled Dust, Silicon ou Cosmic Wolf) est à nouveau sous surveillance, plus récemment grâce à de multiples campagnes ciblant des organisations aux Pays-Bas, suivi par le groupe de recherche Hunt & Hackett. Depuis 2021, les victimes de ces campagnes ciblent les médias, les télécommunications, les fournisseurs de services Internet et les fournisseurs de services informatiques, avec un accent particulier sur les sites Web associés aux Kurdes et au Parti des travailleurs du Kurdistan (PKK).

La Turquie est en conflit avec des groupes d’opposition kurdes, principalement représentés par le PKK, depuis des décennies. Des dizaines de milliers des Kurdes de souche vivent aux Pays-Bas.

« Vous pouvez imaginer qu’un attaquant aligné sur les intérêts politiques turcs ait un intérêt significatif dans la localisation des Kurdes dissidents en Europe », prévient un membre de l’équipe de recherche de Hunt & Hackett, qui a choisi de rester anonyme pour cette histoire.

Le retour de l'extinction de la tortue de mer

Les preuves de l'activité des tortues de mer remontent à 2017, mais le groupe n'était découvert pour la première fois en 2019. À cette époque, il avait déjà compromis plus de 40 organisations – dont de nombreuses organisations gouvernementales et militaires – réparties dans 13 pays, principalement au Moyen-Orient et en Afrique.

Chacun de ces cas impliquait un détournement DNS, manipulant les enregistrements DNS des cibles afin de rediriger le trafic entrant vers leurs propres serveurs, avant de les envoyer vers leurs destinations prévues.

Depuis des années, les nouvelles concernant la tortue de mer sont rares. Mais comme l’indiquent des preuves récentes, cela n’a jamais vraiment disparu, ni même beaucoup changé.

Par exemple, lors d’une campagne typique du début de 2023, les chercheurs de Hunt & Hackett ont observé le groupe accéder à l’environnement d’hébergement Web cPanel d’une organisation via une connexion VPN, puis l’utiliser pour déposer un shell inverse Linux de collecte d’informations appelé « SnappyTCP ».

La manière exacte dont Sea Turtle obtient les informations d'identification nécessaires pour effectuer son interception de trafic Web n'est pas claire, admet le chercheur de Hunt & Hackett, mais les options qui s'offrent à eux sont innombrables.

« Cela pourrait être tellement de choses, car il s’agit d’un serveur Web. Vous pouvez essayer de le forcer brutalement, vous pouvez essayer de divulguer des informations d'identification, pratiquement n'importe quoi, surtout si les personnes hébergeant ce serveur Web le gèrent elles-mêmes. Cela pourrait être le cas s’il s’agit d’une organisation plus petite, où la sécurité est une priorité à l’ordre du jour, mais peut-être pas si haut [en priorité]. Réutilisation des mots de passe, mots de passe standards, on les voit trop souvent partout dans le monde.

Cela n’était peut-être pas trop sophistiqué, si l’on en croit le reste de l’attaque. Par exemple, on pourrait s’attendre à ce qu’un groupe d’espionnage aligné sur un État-nation se montre très évasif. En effet, Sea Turtle a pris quelques précautions de base, comme l'écrasement des journaux système Linux. D’un autre côté, il hébergeait bon nombre de ses outils d’attaque sur un compte GitHub standard et public (supprimé depuis).

En fin de compte, cependant, les attaques ont connu un succès au moins modéré. « De nombreuses informations ont transité par la ligne », explique le chercheur, le cas le plus sensible étant peut-être une archive entière de courrier électronique volée à une organisation ayant des liens étroits avec des entités politiques kurdes.

La Turquie est-elle négligée dans le cyberespace ?

Hunt & Hackett suit dix groupes APT opérant en Turquie. Tous ne sont pas alignés sur l’État, et quelques-uns appartiennent à l’opposition kurde, mais même avec cette mise en garde, le pays semble recevoir proportionnellement moins de presse que nombre de ses homologues.

Selon le chercheur, cela est en partie dû à la taille.

« Si vous regardez le groupe Lazarus, cela représente 2,000 XNUMX personnes travaillant pour la Corée du Nord. La Chine dispose de programmes de piratage complets parrainés par l’État. Le grand nombre d’attaques provenant de ces pays les rend plus connues et plus visibles », dit-il.

Cependant, ajoute-t-il, cela pourrait aussi être lié à la nature des objectifs du gouvernement dans le cyberespace, car « la principale chose pour laquelle ils sont connus est l’espionnage politique. Ils veulent savoir où sont les dissidents. Ils veulent trouver l’opposition, veulent savoir où ils en sont. Donc la différence avec les Iraniens et les Russes, c’est qu’ils ont tendance à être un peu plus présents – surtout les Russes, s’ils déploient des ransomwares, ce qui est en quelque sorte leur mode opératoire.

« Vous remarquez un ransomware », dit-il. "L'espionnage a tendance à passer inaperçu."

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition