ה-APT הטורקי 'צב ים' צץ מחדש כדי לרגל אחר האופוזיציה הכורדית

קבוצה המתואמת לאינטרסים של ממשלת טורקיה מגבירה לאחרונה את ריגול הסייבר שלה ממניעים פוליטיים, ומכוונת לקבוצות אופוזיציה כורדיות באמצעות יעדי שרשרת אספקה ​​בעלי ערך גבוה באירופה, במזרח התיכון ובצפון אפריקה.

לאחר כמה שנים מחוץ לאור הזרקורים, צב הים (הידוע גם בשם Teal Kurma, Marbled Dust, Silicon או Cosmic Wolf) חוזר כעת לבדיקה, לאחרונה הודות לקמפיינים מרובים המכוונים לארגונים בהולנד, במעקב של קבוצת המחקר Hunt & Hackett. מאז 2021, קורבנות הקמפיינים הללו מקיפים יעדים בתקשורת, טלקומוניקציה, ספקי שירותי אינטרנט וספקי שירותי IT, תוך התמקדות ספציפית בהגעה לאתרים הקשורים לכורדים ולמפלגת הפועלים של כורדיסטן (PKK).

טורקיה נמצאת בסכסוך עם קבוצות אופוזיציה כורדיות, המיוצגות בעיקר על ידי ה-PKK, במשך עשרות שנים. עשרות אלפים של כורדים אתניים חיים בהולנד.

"אתם יכולים לדמיין שלתוקף המיישר קו עם האינטרסים הפוליטיים הטורקיים יש עניין משמעותי היכן נמצאים הכורדים המתנגדים באירופה", מזהיר אחד מחברי צוות המחקר של האנט אנד האקט, שבחר להישאר בעילום שם לסיפור הזה.

שובו של צב הים מהכחדה

עדויות לפעילות צבי ים מתוארכות לשנת 2017, אבל הקבוצה הייתה רק התגלה לראשונה ב-2019. באותו זמן, היא כבר התפשרה על יותר מ-40 ארגונים - כולל רבים בממשלה ובצבא - הפרוסים על פני 13 מדינות, בעיקר במזרח התיכון ובאפריקה.

כל אחד מהמקרים הללו כלל חטיפת DNS, מניפולציה של רשומות ה-DNS של יעדים כדי להפנות תעבורה נכנסת לשרתים שלהם, לפני שליחתם ליעדים המיועדים להם.

בשנים שחלפו מאז, החדשות על צב ים היו דלילות. אבל כפי שמראה עדויות אחרונות, זה מעולם לא באמת נעלם, או אפילו השתנה כל כך.

לדוגמה, במסע פרסום טיפוסי מתחילת 2023, חוקרי Hunt & Hackett צפו בקבוצה ניגשת לסביבת אירוח אתרים cPanel של ארגון דרך חיבור VPN, ולאחר מכן השתמשה בה כדי להוריד מעטפת הפוכה של לינוקס לאיסוף מידע בשם "SnappyTCP".

לא ברור איך בדיוק משיג צב הים את האישורים הדרושים לביצוע יירוט תעבורת האינטרנט שלו, מודה חוקר האנט אנד האקט, אבל האפשרויות העומדות לרשותם הן אינספור.

"זה יכול להיות כל כך הרבה דברים, כי זה שרת אינטרנט. אתה יכול לנסות ולהפעיל אותו בכוח, אתה יכול לנסות אישורים שדלפו, בעצם כל דבר, במיוחד אם האנשים המארחים את שרת האינטרנט הזה מנהלים אותו בעצמם. זה יכול להיות המקרה אם מדובר בארגון קטן יותר, שבו אבטחה היא משהו שנמצא בסדר היום שלהם, אבל אולי לא כל כך גבוה [בעדיפות]. שימוש חוזר בסיסמאות, סיסמאות סטנדרטיות, אנחנו רואים אותן לעתים קרובות מדי בכל מקום בעולם."

אולי זה לא היה מתוחכם מדי, אם שאר ההתקפה היא משהו שצריך ללכת לפיו. לדוגמה, אפשר לצפות מקבוצת ריגול המתואמת למדינת לאום להיות מאוד מתחמקת. ואכן, צב הים אכן נקט כמה אמצעי זהירות בסיסיים כמו החלפת יומני מערכת לינוקס. מצד שני, הוא אירח רבים מכלי ההתקפה שלו ב-a חשבון GitHub רגיל, ציבורי (מאז הוסר)..

עם זאת, בסופו של דבר, ההתקפות היו מוצלחות לפחות במידה. "היה הרבה מידע שעבר את הגבול", אומר החוקר, אולי המקרה הרגיש ביותר היה ארכיון דואר אלקטרוני שלם שנגנב מארגון עם קשרים הדוקים עם ישויות פוליטיות כורדיות.

האם טורקיה מתעלמת במרחב הסייבר?

Hunt & Hackett עוקב אחר עשר קבוצות APT הפועלות בטורקיה. לא כולם מיושרים עם המדינה, וזוג שייך לאופוזיציה הכורדית, אבל אפילו עם הסתייגות זו, נראה שהמדינה מקבלת פחות עיתונות באופן יחסי מאשר רבים מעמיתיה.

זה, אומר החוקר, נובע בחלקו מהגודל.

"אם אתה מסתכל על קבוצת לזרוס, זה 2,000 אנשים שעובדים עבור צפון קוריאה. לסין יש תוכניות פריצה שלמות בחסות המדינה. ההיקף העצום של התקפות מאותן מדינות הופך אותן למוכרות יותר ולגלויות יותר", הוא אומר.

עם זאת, הוא מוסיף, ייתכן שזה קשור גם לאופי המטרות של הממשלה במרחב הסייבר, שכן "הדבר העיקרי שהם ידועים בו הוא ריגול פוליטי. הם רוצים לדעת איפה המתנגדים. הם רוצים למצוא את האופוזיציה, רוצים לדעת איפה הם נמצאים. אז ההבדל עם האיראנים, הרוסים, הוא שהם נוטים להיות קצת יותר נוכחים - במיוחד הרוסים, אם הם פורסים תוכנת כופר, שזה סוג של MO שלהם."

"אתה מבחין בתוכנת כופר", הוא אומר. "ריגול נוטה להיעלם מעיניהם."

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition