En gruppe som er på linje med interessene til den tyrkiske regjeringen har skrudd opp sin politisk motiverte nettspionasje i det siste, rettet mot kurdiske opposisjonsgrupper gjennom forsyningskjedemål med høy verdi i Europa, Midtøsten og Nord-Afrika.
Etter noen år utenfor rampelyset, er Sea Turtle (aka Teal Kurma, Marbled Dust, Silicon eller Cosmic Wolf) nå under gransking igjen, sist takket være flere kampanjer rettet mot organisasjoner i Nederland, sporet av forskningsgruppen Hunt & Hackett. Siden 2021 har ofre for disse kampanjene spennet over mål i media, telekommunikasjon, internettleverandører og IT-tjenesteleverandører, med et spesifikt fokus på å nå nettsider knyttet til kurdere og Kurdistan Workers' Party (PKK).
Tyrkia har vært i konflikt med kurdiske opposisjonsgrupper, først og fremst representert av PKK, i flere tiår. Ti av tusen av etniske kurdere bor i Nederland.
"Du kan forestille deg at en angriper som er på linje med tyrkiske politiske interesser har betydelig interesse for hvor de dissidente kurderne er i Europa," advarer et medlem av Hunt & Hackett-forskningsteamet, som valgte å være anonym for denne historien.
Havskilpaddens retur fra utryddelse
Bevis på havskilpaddeaktivitet går tilbake til 2017, men gruppen var det bare først oppdaget i 2019. På den tiden hadde den allerede kompromittert mer enn 40 organisasjoner - inkludert mange i regjeringen og militæret - spredt over 13 land, først og fremst i Midtøsten og Afrika.
Hver av disse tilfellene involverte en DNS-kapring, manipulering av måls DNS-poster for å omdirigere innkommende trafikk til deres egne servere, før de ble sendt videre til de tiltenkte destinasjonene.
I flere år siden har nyhetene om havskilpadde vært sparsomme. Men som nyere bevis indikerer, forsvant det aldri, eller endret seg så mye.
For eksempel, i en typisk kampanje fra tidlig i 2023, observerte Hunt & Hackett-forskere at gruppen fikk tilgang til en organisasjons cPanel Web-vertsmiljø via en VPN-tilkobling, og deretter brukte den til å slippe et informasjonsinnhentende Linux-omvendt skall kalt "SnappyTCP."
Nøyaktig hvordan Sea Turtle skaffer seg legitimasjonen som er nødvendig for å utføre sin webtrafikkavlytting er uklart, innrømmer Hunt & Hackett-forskeren, men alternativene som er tilgjengelige for dem er utallige.
«Det kan være så mange ting, fordi det er en webserver. Du kan prøve brute force det, du kan prøve lekket legitimasjon, i utgangspunktet hva som helst, spesielt hvis de som er vert for den webserveren administrerer den selv. Det kan være tilfelle hvis det er en mindre organisasjon, der sikkerhet er noe som står på agendaen deres, men kanskje ikke så høyt [prioritert]. Gjenbruk av passord, standard passord, vi ser dem altfor ofte overalt i verden.»
Det var kanskje ikke altfor sofistikert, hvis resten av angrepet er noe å gå etter. For eksempel kan man forvente at en nasjonalstatslignet spiongruppe er svært unnvikende. Faktisk tok Sea Turtle noen grunnleggende forholdsregler som å overskrive Linux-systemlogger. På den annen side var den vert for mange av angrepsverktøyene sine på en standard, offentlig (siden fjernet) GitHub-konto.
Til slutt var imidlertid angrepene i det minste moderat vellykkede. "Det var mye informasjon som gikk over linjen," sier forskeren, kanskje den mest sensitive forekomsten var et helt e-postarkiv stjålet fra en organisasjon med nære bånd til kurdiske politiske enheter.
Er Tyrkia oversett i cyberspace?
Hunt & Hackett sporer ti APT-grupper som opererer i Tyrkia. Ikke alle er på linje med staten, og et par tilhører den kurdiske opposisjonen, men selv med det forbeholdet ser det ut til at landet mottar forholdsmessig mindre presse enn mange av dets kolleger.
Det, sier forskeren, skyldes delvis størrelsen.
«Hvis du ser på Lazarus Group, er det 2,000 mennesker som jobber for Nord-Korea. Kina har hele hackingprogrammer som er statsstøttet. Selve volumet av angrep fra disse landene gjør dem mer kjente og mer synlige, sier han.
Imidlertid, legger han til, kan det også ha å gjøre med karakteren av regjeringens mål i cyberspace, da «det viktigste de er kjent for er politisk spionasje. De vil vite hvor dissidentene er. De vil finne opposisjonen, vil vite hvor de er. Så forskjellen med iranerne, russerne, er at de har en tendens til å være litt mer tilstede - spesielt russerne, hvis de distribuerer løsepengevare, som er en slags MO."
"Du legger merke til løsepengevare," sier han. "Spionasje har en tendens til å gå ubemerket hen."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition
- : har
- :er
- :ikke
- :hvor
- $OPP
- 000
- 13
- 2017
- 2021
- 2023
- 40
- a
- Tilgang
- tvers
- aktivitet
- Legger
- afrika
- agenda
- aka
- justert
- justering
- Alle
- allerede
- også
- an
- og
- Anonym
- hva som helst
- APT
- Arkiv
- ER
- AS
- assosiert
- At
- angripe
- Angrep
- tilgjengelig
- borte
- tilbake
- grunnleggende
- I utgangspunktet
- BE
- fordi
- vært
- før du
- være
- Bit
- brute force
- men
- by
- som heter
- Kampanje
- Kampanjer
- CAN
- bære
- saken
- saker
- kjede
- endret
- Kina
- valgte
- Lukke
- kompromittert
- konflikt
- tilkobling
- kunne
- kolleger
- land
- land
- Par
- Credentials
- cyber
- cyberspace
- datoer
- tiår
- utplassere
- destinasjoner
- gJORDE
- forskjell
- oppdaget
- dns
- do
- Drop
- to
- Støv
- Tidlig
- øst
- emalje
- slutt
- Hele
- enheter
- Miljø
- spesielt
- spionasje
- Eter (ETH)
- Europa
- Selv
- overalt
- bevis
- eksempel
- forvente
- Finn
- Fokus
- Til
- Tving
- fra
- GitHub
- Go
- Mål
- skal
- Regjeringen
- Gruppe
- Gruppens
- hacking
- HAD
- hånd
- Ha
- he
- Høy
- svært
- kapre
- vert
- Hosting
- Hvordan
- HTTPS
- jakten
- if
- forestille
- in
- Inkludert
- Innkommende
- indikerer
- informasjon
- f.eks
- tiltenkt
- interesse
- interesser
- Internet
- involvert
- IT
- IT-tjeneste
- DET ER
- jpg
- Type
- Vet
- kjent
- korea
- Lazarus
- Lazarus-gruppen
- minst
- mindre
- i likhet med
- rampelyset
- linje
- linux
- leve
- Se
- Lot
- Hoved
- GJØR AT
- administrerende
- manipulere
- mange
- Kan..
- kan være
- Media
- medlem
- Middle
- Midtøsten
- kunne
- Militær
- mer
- mest
- motivert
- mye
- flere
- myriade
- Natur
- nødvendig
- Nederland
- aldri
- nyheter
- nord
- Nord-Korea
- Legge merke til..
- nå
- observerte
- innhenter
- of
- ofte
- on
- ONE
- bare
- drift
- opposisjon
- alternativer
- or
- organisasjon
- organisasjoner
- Annen
- ut
- enn
- altfor
- egen
- parti
- Passord
- passord
- Ansatte
- kanskje
- plato
- Platon Data Intelligence
- PlatonData
- politisk
- politisk
- presentere
- trykk
- primært
- prioritet
- programmer
- forholdsmessig
- tilbydere
- offentlig
- ransomware
- RE
- nå
- virkelig
- motta
- nylig
- nylig
- poster
- omdirigere
- forbli
- fjernet
- representert
- forskning
- forskningsgruppe
- forsker
- forskere
- REST
- retur
- gjenbruk
- reversere
- Russere
- s
- sier
- granskning
- SEA
- sikkerhet
- se
- synes
- sending
- sensitive
- server
- servere
- tjeneste
- tjenestetilbydere
- Shell
- signifikant
- Silicon
- siden
- Størrelse
- mindre
- So
- noen
- noe
- sofistikert
- spesifikk
- spre
- Standard
- Tilstand
- stjålet
- Story
- vellykket
- levere
- forsyningskjeden
- system
- Ta
- rettet mot
- mål
- BLÅGRØNN
- lag
- telekommunikasjon
- ti
- tendens
- pleier
- enn
- Takk
- Det
- De
- Nederland
- Staten
- verden
- deres
- Dem
- seg
- deretter
- Der.
- Disse
- de
- ting
- ting
- denne
- De
- selv om?
- Gjennom
- Ties
- tid
- til
- også
- verktøy
- trafikk
- prøve
- Kalkun
- tyrkisk
- Turning
- typisk
- uklar
- etter
- ved hjelp av
- av
- ofre
- synlig
- volum
- VPN
- ønsker
- advarer
- var
- we
- web
- web hosting
- webserveren
- Nettrafikk
- nettsteder
- gikk
- var
- hvilken
- HVEM
- Wikipedia
- med
- Wolf
- arbeidere
- arbeid
- verden
- år
- du
- zephyrnet
