APT ‘Tartaruga Marinha’ turca ressurge para espionar a oposição curda

Um grupo alinhado com os interesses do governo da Turquia tem ultimamente aumentado a sua ciberespionagem politicamente motivada, visando grupos da oposição curda através de alvos de cadeia de abastecimento de alto valor na Europa, no Médio Oriente e no Norte de África.

Depois de alguns anos fora dos holofotes, a Sea Turtle (também conhecida como Teal Kurma, Marbled Dust, Silicon ou Cosmic Wolf) está agora novamente sob escrutínio, mais recentemente graças a múltiplas campanhas direcionadas a organizações na Holanda, rastreado pelo grupo de pesquisa Hunt & Hackett. Desde 2021, as vítimas destas campanhas abrangem alvos nos meios de comunicação social, telecomunicações, fornecedores de serviços de Internet e prestadores de serviços de TI, com um foco específico em chegar a websites associados aos curdos e ao Partido dos Trabalhadores do Curdistão (PKK).

A Turquia está em conflito com grupos de oposição curdos, representados principalmente pelo PKK, há décadas. Dezenas de milhares dos curdos étnicos vivem na Holanda.

“Podemos imaginar que um atacante alinhado com os interesses políticos turcos tem um interesse significativo na localização dos dissidentes curdos na Europa”, avisa um membro da equipa de investigação da Hunt & Hackett, que optou por permanecer anónimo para esta história.

O retorno da tartaruga marinha da extinção

As evidências da atividade das tartarugas marinhas remontam a 2017, mas o grupo só foi descoberto pela primeira vez em 2019. Nessa altura, já tinha comprometido mais de 40 organizações – incluindo muitas no governo e nas forças armadas – espalhadas por 13 países, principalmente no Médio Oriente e em África.

Cada um desses casos envolveu um sequestro de DNS, manipulando os registros DNS dos alvos para redirecionar o tráfego de entrada para seus próprios servidores, antes de enviá-los aos destinos pretendidos.

Desde então, as notícias sobre tartarugas marinhas têm sido escassas. Mas, como indicam evidências recentes, nunca desapareceu, nem mudou tanto.

Por exemplo, em uma campanha típica do início de 2023, os pesquisadores da Hunt & Hackett observaram o grupo acessando o ambiente de hospedagem Web cPanel de uma organização por meio de uma conexão VPN e, em seguida, usando-o para descartar um shell reverso do Linux para coleta de informações chamado “SnappyTCP”.

Exatamente como a Sea Turtle obtém as credenciais necessárias para realizar sua interceptação de tráfego na Web não está clara, admite o pesquisador da Hunt & Hackett, mas as opções disponíveis para eles são inúmeras.

“Podem ser muitas coisas, porque é um servidor Web. Você poderia tentar forçar isso, você poderia tentar credenciais vazadas, basicamente qualquer coisa, especialmente se as pessoas que hospedam aquele servidor Web o gerenciassem sozinhas. Esse poderia ser o caso se for uma organização menor, onde a segurança é algo que está na sua agenda, mas talvez não tão alta [em prioridade]. Reutilização de senhas, senhas padrão, vemos isso com muita frequência em todo o mundo.”

Pode não ter sido excessivamente sofisticado, se o resto do ataque servir de referência. Por exemplo, poder-se-ia esperar que um grupo de espionagem alinhado com o Estado-nação fosse altamente evasivo. Na verdade, o Sea Turtle tomou algumas precauções básicas, como substituir os logs do sistema Linux. Por outro lado, hospedou muitas de suas ferramentas de ataque em um conta GitHub padrão, pública (já removida).

No final, porém, os ataques tiveram pelo menos um sucesso moderado. “Havia muita informação a passar dos limites”, diz o investigador, sendo talvez o caso mais sensível um arquivo inteiro de e-mails roubado de uma organização com laços estreitos com entidades políticas curdas.

A Turquia é esquecida no ciberespaço?

Hunt & Hackett rastreia dez grupos APT que operam na Turquia. Nem todos estão alinhados com o Estado, e alguns pertencem à oposição curda, mas mesmo com essa ressalva, o país parece receber proporcionalmente menos imprensa do que muitos dos seus homólogos.

Isso, diz o pesquisador, se deve em parte ao tamanho.

“Se você olhar para o Grupo Lazarus, são 2,000 pessoas trabalhando para a Coreia do Norte. A China tem programas inteiros de hackers patrocinados pelo Estado. O grande volume de ataques desses países os torna mais conhecidos e visíveis”, diz ele.

No entanto, acrescenta, também pode ter a ver com a natureza dos objetivos do governo no ciberespaço, já que “a principal coisa pela qual são conhecidos é a espionagem política. Eles querem saber onde estão os dissidentes. Eles querem encontrar a oposição, querem saber onde estão. Portanto, a diferença com os iranianos e os russos é que eles tendem a estar um pouco mais presentes – especialmente os russos, se implantarem ransomware, que é uma espécie de seu modus operandi.”

“Você percebe ransomware”, diz ele. “A espionagem tende a passar despercebida.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition