APT 'Penyu' Turki Muncul Kembali untuk Memata-matai Oposisi Kurdi

Sebuah kelompok yang selaras dengan kepentingan pemerintah Turki akhir-akhir ini melancarkan spionase siber yang bermotif politik, menargetkan kelompok oposisi Kurdi melalui target rantai pasokan bernilai tinggi di Eropa, Timur Tengah, dan Afrika Utara.

Setelah beberapa tahun tidak lagi menjadi pusat perhatian, Penyu (alias Teal Kurma, Marbled Dust, Silicon, atau Cosmic Wolf) kini kembali diawasi, yang terbaru berkat berbagai kampanye yang menargetkan organisasi di Belanda, dilacak oleh kelompok riset Hunt & Hackett. Sejak tahun 2021, korban dari kampanye ini telah menjangkau target di media, telekomunikasi, penyedia layanan internet, dan penyedia layanan TI, dengan fokus khusus untuk menjangkau situs web yang terkait dengan Kurdi dan Partai Pekerja Kurdistan (PKK).

Turki telah berkonflik dengan kelompok oposisi Kurdi, terutama yang diwakili oleh PKK, selama beberapa dekade. Puluhan ribu etnis Kurdi yang tinggal di Belanda.

“Anda dapat membayangkan bahwa seorang penyerang yang memiliki kepentingan politik Turki memiliki kepentingan yang signifikan terhadap keberadaan kelompok pembangkang Kurdi di Eropa,” salah satu anggota tim peneliti Hunt & Hackett memperingatkan, yang memilih untuk tidak disebutkan namanya untuk cerita ini.

Kembalinya Penyu dari Kepunahan

Bukti aktivitas Penyu sudah ada sejak tahun 2017, namun kelompok tersebut hanya ada pertama kali ditemukan di 2019. Pada saat itu, mereka telah mengkompromikan lebih dari 40 organisasi – termasuk banyak organisasi di pemerintahan dan militer – yang tersebar di 13 negara, terutama di Timur Tengah dan Afrika.

Masing-masing kasus tersebut melibatkan pembajakan DNS, memanipulasi catatan DNS target untuk mengarahkan lalu lintas masuk ke server mereka sendiri, sebelum mengirimkannya ke tujuan yang dituju.

Bertahun-tahun sejak itu, berita tentang Penyu jarang terdengar. Namun seperti yang ditunjukkan oleh bukti terbaru, hal ini tidak pernah benar-benar hilang, atau bahkan berubah sebanyak itu.

Misalnya, dalam kampanye yang biasa dilakukan pada awal tahun 2023, peneliti Hunt & Hackett mengamati kelompok tersebut mengakses lingkungan hosting Web cPanel organisasi melalui koneksi VPN, kemudian menggunakannya untuk melepaskan shell terbalik Linux pengumpul informasi yang disebut “SnappyTCP.”

Bagaimana tepatnya Sea Turtle mendapatkan kredensial yang diperlukan untuk melakukan intersepsi lalu lintas Web masih belum jelas, peneliti Hunt & Hackett mengakui, namun pilihan yang tersedia bagi mereka sangat banyak.

“Bisa jadi banyak hal, karena ini adalah server Web. Anda dapat mencoba dan memaksanya, Anda dapat mencoba kebocoran kredensial, pada dasarnya apa saja, terutama jika orang yang menghosting server Web tersebut mengelolanya sendiri. Hal ini bisa terjadi jika organisasinya lebih kecil, di mana keamanan adalah sesuatu yang ada dalam agenda mereka, namun mungkin tidak terlalu tinggi [prioritasnya]. Penggunaan kembali kata sandi, kata sandi standar, kita terlalu sering melihatnya di mana pun di dunia.”

Ini mungkin tidak terlalu canggih, jika serangan selanjutnya bisa dilakukan. Misalnya, kita mungkin mengira kelompok spionase yang berpihak pada negara akan sangat mengelak. Memang benar, Sea Turtle melakukan beberapa tindakan pencegahan dasar seperti menimpa log sistem Linux. Di sisi lain, ia menghosting banyak alat serangannya di a akun GitHub standar, publik (sejak dihapus)..

Namun pada akhirnya, serangan tersebut setidaknya cukup berhasil. “Ada banyak informasi yang beredar,” kata peneliti tersebut, mungkin contoh yang paling sensitif adalah seluruh arsip email yang dicuri dari sebuah organisasi yang memiliki hubungan dekat dengan entitas politik Kurdi.

Apakah Turki Terabaikan di Dunia Maya?

Hunt & Hackett melacak sepuluh grup APT yang beroperasi di Turki. Tidak semua warga negara ini bersekutu dengan negara, dan beberapa di antara mereka merupakan anggota oposisi Kurdi. Namun meski ada peringatan tersebut, negara ini tampaknya menerima pemberitaan yang jauh lebih sedikit dibandingkan negara-negara lain.

Hal ini, kata peneliti, sebagian disebabkan oleh ukuran.

“Jika Anda melihat Lazarus Group, ada 2,000 orang yang bekerja untuk Korea Utara. Tiongkok memiliki seluruh program peretasan yang disponsori negara. Besarnya volume serangan dari negara-negara tersebut membuat mereka lebih dikenal dan terlihat,” katanya.

Namun, tambahnya, hal ini mungkin juga berkaitan dengan sifat tujuan pemerintah di dunia maya, karena “hal utama yang diketahui adalah spionase politik. Mereka ingin tahu di mana para pembangkang itu berada. Mereka ingin mencari oposisi, ingin tahu di mana posisi mereka. Jadi perbedaannya dengan orang-orang Iran, orang-orang Rusia, adalah mereka cenderung lebih hadir – terutama orang-orang Rusia, jika mereka menyebarkan ransomware, yang merupakan semacam MO mereka.”

“Anda memperhatikan ransomware,” katanya. “Spionase cenderung luput dari perhatian.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition