La “Sea Turtle” dell’APT turca riemerge per spiare l’opposizione curda

Un gruppo allineato con gli interessi del governo turco ha ultimamente dato sfogo al suo spionaggio informatico politicamente motivato, prendendo di mira i gruppi di opposizione curdi attraverso obiettivi di filiera di alto valore in Europa, Medio Oriente e Nord Africa.

Dopo alcuni anni lontano dalle luci della ribalta, Sea Turtle (alias Teal Kurma, Marbled Dust, Silicon o Cosmic Wolf) è ora tornato sotto esame, più recentemente grazie a molteplici campagne rivolte a organizzazioni nei Paesi Bassi, tracciato dal gruppo di ricerca Hunt & Hackett. Dal 2021, le vittime di queste campagne hanno abbracciato obiettivi nei media, nelle telecomunicazioni, nei fornitori di servizi Internet e nei fornitori di servizi IT, con un focus specifico sul raggiungimento di siti web associati ai curdi e al Partito dei lavoratori del Kurdistan (PKK).

La Turchia è in conflitto da decenni con i gruppi di opposizione curdi, rappresentati principalmente dal PKK. Decine di migliaia di etnia curda vive nei Paesi Bassi.

“Si può immaginare che un aggressore in linea con gli interessi politici turchi abbia un interesse significativo per dove si trovano i curdi dissidenti in Europa”, avverte un membro del gruppo di ricerca di Hunt & Hackett, che ha scelto di rimanere anonimo per questa storia.

Il ritorno della tartaruga marina dall’estinzione

Le prove dell'attività delle tartarughe marine risalgono al 2017, ma il gruppo era solo scoperto per la prima volta nel 2019. A quel punto, aveva già compromesso più di 40 organizzazioni – tra cui molte governative e militari – sparse in 13 paesi, principalmente in Medio Oriente e Africa.

Ognuno di questi casi prevedeva un dirottamento DNS, manipolando i record DNS degli obiettivi in ​​modo da reindirizzare il traffico in entrata sui propri server, prima di inviarlo alle destinazioni previste.

Da allora, le notizie sulla tartaruga marina sono state scarse. Ma come indicano prove recenti, non è mai realmente scomparso, e nemmeno è cambiato più di tanto.

Ad esempio, in una tipica campagna dell’inizio del 2023, i ricercatori di Hunt & Hackett hanno osservato il gruppo accedere all’ambiente di hosting Web cPanel di un’organizzazione tramite una connessione VPN, quindi utilizzarlo per rilasciare una shell inversa Linux di raccolta di informazioni chiamata “SnappyTCP”.

Non è chiaro come esattamente Sea Turtle ottenga le credenziali necessarie per effettuare l'intercettazione del traffico web, ammette il ricercatore di Hunt & Hackett, ma le opzioni a loro disposizione sono una miriade.

“Potrebbero essere tante cose, perché è un server Web. Potresti provare a forzarlo, potresti provare a far trapelare credenziali, praticamente qualsiasi cosa, soprattutto se le persone che ospitano quel server Web lo gestiscono da sole. Potrebbe essere il caso se si tratta di un’organizzazione più piccola, dove la sicurezza è qualcosa che è all’ordine del giorno, ma forse non così in alto [in priorità]. Riutilizzo delle password, password standard, le vediamo troppo spesso ovunque nel mondo."

Potrebbe non essere stato eccessivamente sofisticato, a giudicare dal resto dell'attacco. Ad esempio, ci si potrebbe aspettare che un gruppo di spionaggio allineato allo stato-nazione sia altamente evasivo. In effetti, Sea Turtle ha preso alcune precauzioni di base come sovrascrivere i log di sistema di Linux. D'altra parte, ospitava molti dei suoi strumenti di attacco su a account GitHub standard, pubblico (da quando rimosso)..

Alla fine, però, gli attacchi hanno avuto un successo almeno moderato. "C'erano molte informazioni oltre il limite", afferma il ricercatore, forse il caso più delicato è stato un intero archivio di posta elettronica rubato a un'organizzazione con stretti legami con entità politiche curde.

La Turchia è trascurata nel cyberspazio?

Hunt & Hackett segue dieci gruppi APT che operano in Turchia. Non tutti sono allineati con lo Stato, e un paio appartengono all’opposizione curda, ma nonostante questo avvertimento, il paese sembra ricevere proporzionalmente meno stampa rispetto a molti dei suoi omologhi.

Ciò, dice il ricercatore, è in parte dovuto alle dimensioni.

“Se guardi al Lazarus Group, ci sono 2,000 persone che lavorano per la Corea del Nord. La Cina ha interi programmi di hacking sponsorizzati dallo stato. L’enorme volume di attacchi da parte di questi paesi li rende più conosciuti e più visibili”, afferma.

Tuttavia, aggiunge, potrebbe anche avere a che fare con la natura degli obiettivi del governo nel cyberspazio, poiché “la cosa principale per cui sono conosciuti è lo spionaggio politico. Vogliono sapere dove sono i dissidenti. Vogliono trovare l’opposizione, vogliono sapere a che punto sono. Quindi la differenza con gli iraniani e i russi è che tendono ad essere un po’ più presenti, soprattutto i russi, se distribuiscono ransomware, che è una specie di loro modus operandi”.

"Noti il ​​ransomware", dice. “Lo spionaggio tende a passare inosservato.”

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition