„Testoasa de mare” turcă APT reapare pentru a spiona opoziția kurdă

Un grup aliniat cu interesele guvernului Turciei și-a transformat în ultima vreme spionajul cibernetic motivat politic, țintind grupurile de opoziție kurdă prin obiective de mare valoare ale lanțului de aprovizionare din Europa, Orientul Mijlociu și Africa de Nord.

După câțiva ani din lumina reflectoarelor, Sea Turtle (alias Teal Kurma, Marbled Dust, Silicon sau Cosmic Wolf) este acum din nou sub control, cel mai recent datorită mai multor campanii care vizează organizații din Țările de Jos, urmărit de grupul de cercetare Hunt & Hackett. Începând cu 2021, victimele acestor campanii au vizat ținte în mass-media, telecomunicații, furnizori de servicii de internet și furnizori de servicii IT, cu un accent special pe accesarea site-urilor web asociate cu kurzii și Partidul Muncitorilor din Kurdistan (PKK).

Turcia este în conflict cu grupurile kurde de opoziție, reprezentate în principal de PKK, de zeci de ani. Zeci de mii dintre etnicii kurzi trăiesc în Țările de Jos.

„Vă puteți imagina că un atacator care se aliniază intereselor politice turcești are un interes semnificativ în locul în care se află kurzii dizidenți în Europa”, avertizează un membru al echipei de cercetare Hunt & Hackett, care a ales să rămână anonim pentru această poveste.

Întoarcerea țestoasei marine din extincție

Dovezile activității țestoaselor marine datează din 2017, dar grupul a fost doar descoperit pentru prima dată în 2019. Până la acel moment, a compromis deja peste 40 de organizații – inclusiv multe din guvern și din armată – răspândite în 13 țări, în principal în Orientul Mijlociu și Africa.

Fiecare dintre aceste cazuri a implicat un deturnare DNS, manipulând înregistrările DNS ale țintelor astfel încât să redirecționeze traficul de intrare către propriile servere, înainte de a le trimite către destinațiile dorite.

În anii de atunci, știrile despre țestoasa marine au fost rare. Dar, după cum indică dovezile recente, nu a dispărut niciodată, sau chiar s-a schimbat atât de mult.

De exemplu, într-o campanie tipică de la începutul anului 2023, cercetătorii Hunt & Hackett au observat că grupul accesa mediul de găzduire web cPanel al unei organizații printr-o conexiune VPN, apoi îl folosea pentru a arunca un shell invers Linux de colectare a informațiilor numit „SnappyTCP”.

Nu este clar modul în care Sea Turtle obține acreditările necesare pentru a-și efectua interceptarea traficului web, recunoaște cercetătorul Hunt & Hackett, dar opțiunile disponibile pentru ei sunt nenumărate.

„Ar putea fi atât de multe lucruri, pentru că este un server Web. Ai putea încerca să o forțezi brute, ai putea încerca acreditările scurse, practic orice, mai ales dacă oamenii care găzduiesc acel server web îl gestionează ei înșiși. Acesta ar putea fi cazul dacă este o organizație mai mică, în care securitatea este ceva care este pe agenda lor, dar poate nu atât de sus [în prioritate]. Reutilizarea parolelor, parolele standard, le vedem prea des peste tot în lume.”

S-ar putea să nu fi fost prea sofisticat, dacă restul atacului este ceva de rezolvat. De exemplu, ne-am putea aștepta ca un grup de spionaj aliniat la un stat național să fie extrem de evaziv. Într-adevăr, Sea Turtle și-a luat câteva măsuri de precauție de bază, cum ar fi suprascrierea jurnalelor de sistem Linux. Pe de altă parte, a găzduit multe dintre instrumentele sale de atac pe un cont GitHub standard, public (de când a fost eliminat)..

În cele din urmă, însă, atacurile au avut un succes cel puțin moderat. „Au fost multe informații care treceau peste linie”, spune cercetătorul, poate cel mai sensibil caz fiind o întreagă arhivă de e-mail furată de la o organizație cu legături strânse cu entitățile politice kurde.

Este Turcia trecută cu vederea în spațiul cibernetic?

Hunt & Hackett urmărește zece grupuri APT care operează în Turcia. Nu toți sunt aliniați cu statul și un cuplu aparțin opoziției kurde, dar chiar și cu această avertizare, țara pare să primească proporțional mai puțină presă decât mulți dintre omologii săi.

Acest lucru, spune cercetătorul, se datorează parțial dimensiunii.

„Dacă te uiți la Lazarus Group, înseamnă 2,000 de oameni care lucrează pentru Coreea de Nord. China are programe întregi de hacking care sunt sponsorizate de stat. Volumul mare al atacurilor din aceste țări le face mai cunoscute și mai vizibile”, spune el.

Cu toate acestea, adaugă el, poate avea de-a face și cu natura obiectivelor guvernului în spațiul cibernetic, deoarece „principalul lucru pentru care sunt cunoscuți este spionajul politic. Vor să știe unde sunt dizidenții. Vor să găsească opoziția, vor să știe unde se află. Deci, diferența cu iranienii, rușii, este că aceștia tind să fie puțin mai prezenți – în special rușii, dacă implementează ransomware, care este un fel de MO lor.”

„Observați ransomware”, spune el. „Spionajul tinde să treacă neobservat.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition