Turški APT 'morska želva' se ponovno pojavi, da bi vohunil za kurdsko opozicijo

Skupina, ki je povezana z interesi turške vlade, je v zadnjem času razkrila svoje politično motivirano kibernetsko vohunjenje, ki cilja na kurdske opozicijske skupine prek tarč v dobavni verigi visoke vrednosti v Evropi, na Bližnjem vzhodu in v Severni Afriki.

Po nekaj letih, ko ni bila v središču pozornosti, je Morska želva (alias Teal Kurma, Marbled Dust, Silicon ali Cosmic Wolf) zdaj spet pod drobnogledom, nazadnje po zaslugi številnih kampanj, namenjenih organizacijam na Nizozemskem, sledila raziskovalna skupina Hunt & Hackett. Od leta 2021 so žrtve teh kampanj zajemale tarče v medijih, telekomunikacijah, ponudnikih internetnih storitev in ponudnikih storitev IT, s posebnim poudarkom na doseganju spletnih mest, povezanih s Kurdi in Kurdistansko delavsko stranko (PKK).

Turčija je že desetletja v sporu s kurdskimi opozicijskimi skupinami, ki jih predstavlja predvsem PKK. Več deset tisoč etničnih Kurdov živi na Nizozemskem.

"Lahko si predstavljate, da ima napadalec, ki se povezuje s turškimi političnimi interesi, velik interes za to, kje v Evropi so disidentski Kurdi," opozarja eden od članov raziskovalne skupine Hunt & Hackett, ki se je za to zgodbo odločil ostati anonimen.

Vrnitev morske želve iz izumrtja

Dokazi o dejavnosti morskih želv segajo v leto 2017, vendar je bila skupina le prvič odkrit leta 2019. Do takrat je ogrozil že več kot 40 organizacij - vključno s številnimi v vladi in vojski - v 13 državah, predvsem na Bližnjem vzhodu in v Afriki.

Vsak od teh primerov je vključeval ugrabitev DNS, ki je manipulirala z zapisi DNS ciljev, da bi preusmerila dohodni promet na njihove lastne strežnike, preden jih je poslala na predvidene cilje.

V letih od takrat so bile novice o morski želvi redke. Toda kot kažejo nedavni dokazi, ni nikoli zares izginilo ali se celo toliko spremenilo.

Na primer, v tipični kampanji iz začetka leta 2023 so raziskovalci Hunt & Hackett opazovali skupino, ki je dostopala do okolja spletnega gostovanja cPanel organizacije prek povezave VPN, nato pa jo uporabila za opustitev povratne lupine Linuxa za zbiranje informacij, imenovane »SnappyTCP«.

Raziskovalec Hunt & Hackett priznava, kako točno Sea Turtle pridobi poverilnice, potrebne za izvajanje prestrezanja spletnega prometa, ni jasno, vendar so možnosti, ki so jim na voljo, nešteto.

»Lahko je toliko stvari, ker gre za spletni strežnik. Lahko poskusite z nasilno uporabo, lahko poskusite z razkritimi poverilnicami, v bistvu karkoli, še posebej, če ljudje, ki gostijo ta spletni strežnik, sami upravljajo. To bi lahko veljalo, če gre za manjšo organizacijo, kjer je varnost nekaj, kar je na njihovem dnevnem redu, vendar morda ne tako visoko [prioriteta]. Ponovna uporaba gesel, standardna gesla, vse prepogosto jih vidimo povsod po svetu.«

Morda ni bilo pretirano prefinjeno, če je preostanek napada kaj videti. Lahko bi na primer pričakovali, da se bo vohunska skupina, ki je povezana z nacionalno državo, zelo izogibala. Morska želva je dejansko sprejela nekaj osnovnih previdnostnih ukrepov, kot je prepisovanje sistemskih dnevnikov Linuxa. Po drugi strani pa je veliko svojih napadalnih orodij gostil na standardni, javni (od odstranitve) račun GitHub.

Na koncu pa so bili napadi vsaj zmerno uspešni. "Veliko informacij je šlo preko meje," pravi raziskovalec, morda najbolj občutljiv primer je celoten arhiv elektronske pošte, ukraden organizaciji, ki je tesno povezana s kurdskimi političnimi subjekti.

Je Turčija v kibernetskem prostoru spregledana?

Hunt & Hackett spremlja deset skupin APT, ki delujejo v Turčiji. Niso vsi usklajeni z državo in nekaj jih pripada kurdski opoziciji, a tudi s tem opozorilom se zdi, da je država sorazmerno manj deležna tiska kot mnoge druge države.

Raziskovalec pravi, da je to delno posledica velikosti.

»Če pogledate skupino Lazarus, je to 2,000 ljudi, ki delajo za Severno Korejo. Kitajska ima celotne hekerske programe, ki jih sponzorira država. Zaradi samega obsega napadov iz teh držav so bolj znane in vidnejše,« pravi.

Vendar dodaja, da je to morda povezano tudi z naravo vladnih ciljev v kibernetskem prostoru, saj je »glavna stvar, po kateri so znani, politično vohunjenje. Želijo vedeti, kje so disidenti. Želijo najti opozicijo, želijo vedeti, kje so. Razlika z Iranci in Rusi je torej v tem, da so nekoliko bolj prisotni – zlasti Rusi, če uporabljajo izsiljevalsko programsko opremo, kar je nekakšen njihov način delovanja.«

»Opazite izsiljevalsko programsko opremo,« pravi. "Vohunjenje običajno ostane neopaženo."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition