터키 APT '바다거북', 쿠르드 반군을 감시하기 위해 다시 등장

터키 정부의 이익과 연계된 한 그룹은 최근 유럽, 중동 및 북아프리카의 고가치 공급망 표적을 통해 쿠르드 반군 단체를 표적으로 삼는 정치적 동기의 사이버 스파이 활동을 밝혀 왔습니다.

몇 년 동안 주목을 받지 못했던 Sea Turtle(일명 Teal Kurma, Marbled Dust, Silicon 또는 Cosmic Wolf)은 이제 다시 조사를 받고 있으며, 가장 최근에는 네덜란드 조직을 대상으로 한 여러 캠페인 덕분에 연구 그룹 Hunt & Hackett이 추적했습니다.. 2021년부터 이러한 캠페인의 피해자는 미디어, 통신, 인터넷 서비스 제공업체, IT 서비스 제공업체 등 다양한 대상을 포괄하고 있으며 특히 쿠르드족 및 쿠르드 노동자당(PKK)과 관련된 웹사이트에 접근하는 데 중점을 두고 있습니다.

터키는 주로 PKK로 대표되는 쿠르드 반군 단체와 수십 년 동안 갈등을 벌여왔습니다. 수만의 쿠르드족이 네덜란드에 살고 있습니다.

이 이야기에 대해 익명을 유지하기로 선택한 Hunt & Hackett 연구팀의 한 구성원은 "터키의 정치적 이해관계에 동조하는 공격자가 유럽의 반체제 쿠르드족이 어디에 있는지에 상당한 관심을 갖고 있다고 상상할 수 있습니다."라고 경고합니다.

멸종 위기에서 돌아온 바다거북

바다거북 활동의 증거는 2017년으로 거슬러 올라갑니다. 2019에서 처음 발견되었습니다.. 그 무렵에는 주로 중동과 아프리카를 중심으로 40개국에 걸쳐 정부와 군대를 포함한 13개 이상의 조직이 이미 손상되었습니다.

이러한 각 사례에는 들어오는 트래픽을 의도한 목적지로 보내기 전에 자체 서버로 리디렉션하기 위해 대상의 DNS 레코드를 조작하는 DNS 하이재킹이 포함되었습니다.

그 이후 몇 년 동안 바다거북에 대한 소식은 드물었습니다. 그러나 최근의 증거에 따르면 실제로 사라지거나 그렇게 많이 변하지도 않았습니다.

예를 들어, Hunt & Hackett 연구진은 2023년 초의 일반적인 캠페인에서 해당 그룹이 VPN 연결을 통해 조직의 cPanel 웹 호스팅 환경에 액세스한 다음 이를 사용하여 "SnappyTCP"라는 정보 수집 Linux 리버스 셸을 삭제하는 것을 관찰했습니다.

Hunt & Hackett 연구원은 Sea Turtle이 웹 트래픽 차단을 수행하는 데 필요한 자격 증명을 정확히 어떻게 얻는지는 불분명하지만 사용할 수 있는 옵션은 무수히 많다고 인정했습니다.

“웹 서버이기 때문에 많은 일이 있을 수 있습니다. 무차별 공격을 시도할 수도 있고, 자격 증명 유출을 시도할 수도 있습니다. 기본적으로 무엇이든 시도할 수 있습니다. 특히 해당 웹 서버를 호스팅하는 사람들이 직접 관리하는 경우에는 더욱 그렇습니다. 보안이 그들의 의제이지만 그다지 높지 않은 [우선순위] 소규모 조직의 경우에는 그럴 수 있습니다. 비밀번호 재사용, 표준 비밀번호 등은 전 세계 어디에서나 너무 자주 볼 수 있습니다.”

나머지 공격이 지나치면 지나치게 정교하지 않았을 수도 있습니다. 예를 들어, 국가와 연계된 간첩 그룹이 매우 회피적일 것으로 예상할 수 있습니다. 실제로 Sea Turtle은 Linux 시스템 로그 덮어쓰기와 같은 몇 가지 기본적인 예방 조치를 취했습니다. 반면에 많은 공격 도구를 호스팅했습니다. 표준, 공개(제거된 이후) GitHub 계정.

그러나 결국 공격은 어느 정도 성공했습니다. 연구원은 "선을 넘은 정보가 너무 많았습니다"라고 말했습니다. 아마도 가장 민감한 사례는 쿠르드족 정치 단체와 밀접한 관계가 있는 조직에서 도난당한 전체 이메일 아카이브일 것입니다.

터키는 사이버 공간에서 간과됩니까?

Hunt & Hackett은 터키에서 활동하는 10개의 APT 그룹을 추적합니다. 모든 사람이 국가에 동조하는 것은 아니며 한 쌍은 쿠르드족 반대파에 속해 있지만, 이러한 경고에도 불구하고 이 나라는 많은 상대 국가에 비해 비례적으로 언론의 관심을 덜 받는 것 같습니다.

연구원은 그것이 부분적으로 크기 때문이라고 말합니다.

“라자루스 그룹을 보면 북한을 위해 일하는 사람이 2,000명이나 됩니다. 중국은 국가가 후원하는 해킹 프로그램 전체를 보유하고 있습니다. 해당 국가에서 발생한 엄청난 양의 공격으로 인해 이러한 공격이 더욱 알려지고 눈에 띄게 되었습니다.”라고 그는 말합니다.

그러나 그는 사이버 공간에서 정부가 추구하는 목표의 성격과도 관련이 있을 수 있다고 덧붙입니다. “그들이 가장 잘 알려진 것은 정치적 스파이 활동입니다. 그들은 반체제 인사들이 어디에 있는지 알고 싶어합니다. 그들은 야당을 찾고 싶어하고 그들이 어디에 있는지 알고 싶어합니다. 따라서 이란인 러시아인과의 차이점은 좀 더 적극적으로 존재하는 경향이 있다는 것입니다. 특히 러시아인이 일종의 MO인 랜섬웨어를 배포하는 경우 더욱 그렇습니다.”

“랜섬웨어를 발견하게 됩니다.”라고 그는 말합니다. "간첩 활동은 눈에 띄지 않는 경향이 있습니다."

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition