Turkse APT ‘Zeeschildpad’ duikt weer op om de Koerdische oppositie te bespioneren

Een groep die zich aansluit bij de belangen van de Turkse regering heeft de laatste tijd haar politiek gemotiveerde cyberspionage opgevoerd en richt zich op Koerdische oppositiegroepen via hoogwaardige toeleveringsketendoelen in Europa, het Midden-Oosten en Noord-Afrika.

Na enkele jaren uit de schijnwerpers te zijn geweest, staat Sea Turtle (ook bekend als Teal Kurma, Marbled Dust, Silicon of Cosmic Wolf) nu weer onder de loep, meest recentelijk dankzij meerdere campagnes gericht op organisaties in Nederland, gevolgd door de onderzoeksgroep Hunt & Hackett. Sinds 2021 hebben de slachtoffers van deze campagnes zich verspreid over doelwitten in de media, telecommunicatie, internetproviders en IT-dienstverleners, met een specifieke focus op het bereiken van websites die verband houden met de Koerden en de Koerdische Arbeiderspartij (PKK).

Turkije is al tientallen jaren in conflict met Koerdische oppositiegroeperingen, voornamelijk vertegenwoordigd door de PKK. Tienduizenden van de etnische Koerden woont in Nederland.

“Je kunt je voorstellen dat een aanvaller die zich aansluit bij de Turkse politieke belangen grote interesse heeft in waar de dissidente Koerden zich in Europa bevinden”, waarschuwt een lid van het onderzoeksteam van Hunt & Hackett, die ervoor koos anoniem te blijven voor dit verhaal.

De terugkeer van zeeschildpadden van uitsterven

Bewijs van activiteit van zeeschildpadden dateert uit 2017, maar de groep was dat alleen voor het eerst ontdekt in 2019. Tegen die tijd had het al meer dan veertig organisaties gecompromitteerd – waaronder veel in de regering en het leger – verspreid over dertien landen, voornamelijk in het Midden-Oosten en Afrika.

In elk van deze gevallen ging het om een ​​DNS-kaping, waarbij de DNS-records van doelwitten werden gemanipuleerd om inkomend verkeer om te leiden naar hun eigen servers, voordat ze doorgestuurd werden naar de beoogde bestemmingen.

In de jaren daarna is het nieuws over zeeschildpadden schaars geweest. Maar zoals recent bewijsmateriaal aangeeft, is het nooit echt verdwenen, of zelfs maar zo veel veranderd.

In een typische campagne uit begin 2023 observeerden onderzoekers van Hunt & Hackett bijvoorbeeld dat de groep toegang kreeg tot de cPanel-webhostingomgeving van een organisatie via een VPN-verbinding en deze vervolgens gebruikte om een ​​informatieverzamelende Linux-reverse shell genaamd ‘SnappyTCP’ te laten vallen.

Hoe Sea Turtle precies aan de inloggegevens komt die nodig zijn om het internetverkeer te onderscheppen, is onduidelijk, geeft de onderzoeker van Hunt & Hackett toe, maar de beschikbare opties zijn legio.

“Het kunnen zoveel dingen zijn, omdat het een webserver is. Je zou kunnen proberen het bruut te forceren, je zou gelekte inloggegevens kunnen proberen, eigenlijk alles, vooral als de mensen die de webserver hosten het zelf beheren. Dat zou het geval kunnen zijn als het een kleinere organisatie is, waar beveiliging iets is dat op hun agenda staat, maar misschien niet zo hoog [in prioriteit]. Hergebruik van wachtwoorden, standaardwachtwoorden, we zien ze maar al te vaak overal ter wereld.”

Het was misschien niet al te geavanceerd, als je de rest van de aanval mag geloven. Je zou bijvoorbeeld kunnen verwachten dat een op de natiestaat gerichte spionagegroep zeer ontwijkend zal zijn. Sea Turtle heeft inderdaad enkele basisvoorzorgsmaatregelen genomen, zoals het overschrijven van Linux-systeemlogboeken. Aan de andere kant hostte het veel van zijn aanvalstools op een standaard, openbaar (sindsdien verwijderd) GitHub-account.

Maar uiteindelijk waren de aanvallen op zijn minst redelijk succesvol. “Er ging veel informatie over de grens”, zegt de onderzoeker. Het meest gevoelige voorbeeld was misschien wel een volledig e-mailarchief dat was gestolen van een organisatie die nauwe banden had met Koerdische politieke entiteiten.

Wordt Turkije over het hoofd gezien in cyberspace?

Hunt & Hackett volgt tien APT-groepen die actief zijn in Turkije. Niet iedereen staat op één lijn met de staat, en een paar behoren tot de Koerdische oppositie, maar zelfs met dat voorbehoud lijkt het land verhoudingsgewijs minder pers te ontvangen dan veel van zijn tegenhangers.

Dat komt volgens de onderzoeker deels door de omvang.

“Als je naar de Lazarus Group kijkt, zijn dat 2,000 mensen die voor Noord-Korea werken. China beschikt over complete hackprogramma’s die door de staat worden gesponsord. Alleen al het aantal aanvallen vanuit die landen maakt ze bekender en zichtbaarder”, zegt hij.

Hij voegt er echter aan toe dat het ook te maken kan hebben met de aard van de doelstellingen van de overheid in cyberspace, aangezien ‘het belangrijkste waar ze bekend om staan ​​politieke spionage is. Ze willen weten waar de dissidenten zijn. Ze willen de oppositie vinden, willen weten waar ze aan toe zijn. Het verschil met de Iraniërs, de Russen, is dus dat ze de neiging hebben wat meer aanwezig te zijn – vooral de Russen, als ze ransomware inzetten, wat een soort van hun werkwijze is.”

“Je merkt ransomware”, zegt hij. “Spionage blijft vaak onopgemerkt.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition