Turecki „Żółw morski” APT powraca, by szpiegować kurdyjską opozycję

Grupa zgodna z interesami rządu Turcji wzmogła ostatnio swoje motywowane politycznie cyberszpiegostwo, którego celem są kurdyjskie grupy opozycji za pośrednictwem celów w łańcuchach dostaw o wysokiej wartości w Europie, na Bliskim Wschodzie i w Afryce Północnej.

Po kilku latach nieobecności w centrum uwagi Żółw morski (znany również jako Teal Kurma, Marbled Dust, Silicon lub Cosmic Wolf) ponownie znalazł się pod lupą, ostatnio dzięki licznym kampaniom skierowanym do organizacji w Holandii, śledzone przez grupę badawczą Hunt & Hackett. Od 2021 r. ofiary tych kampanii obejmowały różne grupy docelowe: media, telekomunikację, dostawców usług internetowych i dostawców usług IT, ze szczególnym naciskiem na docieranie do stron internetowych powiązanych z Kurdami i Partią Pracujących Kurdystanu (PKK).

Turcja od dziesięcioleci pozostaje w konflikcie z kurdyjskimi ugrupowaniami opozycyjnymi, reprezentowanymi głównie przez PKK. Kilkadziesiąt tysięcy etnicznych Kurdów mieszka w Holandii.

„Można sobie wyobrazić, że napastnik popierający tureckie interesy polityczne ma poważny interes w tym, gdzie w Europie znajdują się dysydenccy Kurdowie” – ostrzega jeden z członków zespołu badawczego Hunt & Hackett, który zdecydował się zachować anonimowość w tej historii.

Powrót żółwia morskiego z wyginięcia

Dowody na działalność żółwi morskich pochodzą z 2017 roku, ale grupa była dopiero po raz pierwszy odkryta w 2019. Do tego czasu skompromitował już ponad 40 organizacji – w tym wiele rządowych i wojskowych – rozmieszczonych w 13 krajach, głównie na Bliskim Wschodzie i w Afryce.

Każdy z tych przypadków dotyczył przejęcia DNS i manipulacji rekordami DNS celów w celu przekierowania ruchu przychodzącego na ich własne serwery przed wysłaniem ich do zamierzonych miejsc docelowych.

Od lat wiadomości o żółwiu morskim były skąpe. Ale jak wskazują najnowsze dowody, tak naprawdę nigdy nie zniknęło ani nawet nie zmieniło się tak bardzo.

Na przykład w typowej kampanii z początku 2023 r. badacze Hunt & Hackett zaobserwowali, jak grupa uzyskuje dostęp do środowiska hostingowego cPanel organizacji za pośrednictwem połączenia VPN, a następnie używa go do upuszczenia gromadzącej informacje powłoki odwrotnej systemu Linux o nazwie „SnappyTCP”.

Badacz Hunt & Hackett przyznaje, że nie jest jasne, w jaki sposób Żółw Morski uzyskuje dane uwierzytelniające niezbędne do przechwytywania ruchu internetowego, ale dostępnych mu opcji jest niezliczona ilość.

„Może to być wiele rzeczy, ponieważ jest to serwer internetowy. Możesz spróbować brutalnie wymusić, możesz wypróbować wycieki danych uwierzytelniających, w zasadzie wszystko, zwłaszcza jeśli osoby hostujące ten serwer internetowy zarządzają nim same. Może tak być w przypadku mniejszej organizacji, w której bezpieczeństwo jest na pierwszym miejscu, ale może nie jest to kwestia priorytetowa. Ponowne użycie haseł, standardowych haseł, widzimy je zbyt często na całym świecie.

Być może nie był on zbyt wyrafinowany, jeśli reszta ataku miałaby wystarczyć. Na przykład można by oczekiwać, że grupa szpiegowska zrzeszona w państwach narodowych będzie wysoce wymijająca. Rzeczywiście, Sea Turtle podjął pewne podstawowe środki ostrożności, takie jak nadpisywanie dzienników systemu Linux. Z drugiej strony, hostował wiele narzędzi ataku na serwerze a standardowe, publiczne (od czasu usunięcia) konto GitHub.

Ostatecznie jednak ataki były co najmniej umiarkowanie skuteczne. „Przesłano wiele informacji” – mówi badacz, a być może najbardziej drażliwym przykładem jest całe archiwum e-maili skradzione organizacji blisko powiązanej z kurdyjskimi podmiotami politycznymi.

Czy Turcja jest pomijana w cyberprzestrzeni?

Hunt & Hackett śledzi dziesięć grup APT działających w Turcji. Nie wszyscy są powiązani z państwem, a kilka należy do kurdyjskiej opozycji, ale nawet przy tym zastrzeżeniu wydaje się, że kraj cieszy się proporcjonalnie mniejszą presją niż wiele jego odpowiedników.

Zdaniem badacza jest to częściowo spowodowane rozmiarem.

„Jeśli spojrzeć na Grupę Lazarus, to 2,000 osób pracuje dla Korei Północnej. Chiny mają całe programy hakerskie sponsorowane przez państwo. Sama liczba ataków ze strony tych krajów sprawia, że ​​są one bardziej znane i widoczne” – mówi.

Dodaje jednak, że może to mieć również związek z charakterem celów rządu w cyberprzestrzeni, ponieważ „główną rzeczą, z której są znani, jest szpiegostwo polityczne”. Chcą wiedzieć, gdzie są dysydenci. Chcą znaleźć opozycję, chcą wiedzieć, gdzie się znajdują. Zatem różnica w porównaniu z Irańczykami i Rosjanami polega na tym, że są oni nieco bardziej obecni — szczególnie Rosjanie, jeśli wdrażają oprogramowanie ransomware, co jest w pewnym sensie ich sposobem działania”.

„Zauważasz oprogramowanie ransomware” – mówi. „Szpiegostwo zwykle pozostaje niezauważone”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition