Turkisk APT "Sea Turtle" dyker upp igen för att spionera på kurdisk opposition

En grupp som är i linje med den turkiska regeringens intressen har på sistone ökat sitt politiskt motiverade cyberspionage och riktat sig mot kurdiska oppositionsgrupper genom högvärdiga mål för leveranskedjan i Europa, Mellanöstern och Nordafrika.

Efter några år utanför rampljuset är Sea Turtle (alias Teal Kurma, Marbled Dust, Silicon eller Cosmic Wolf) nu åter under granskning, nu senast tack vare flera kampanjer riktade mot organisationer i Nederländerna, spåras av forskargruppen Hunt & Hackett. Sedan 2021 har offren för dessa kampanjer sträckt sig över mål inom media, telekommunikation, internettjänsteleverantörer och IT-tjänsteleverantörer, med särskilt fokus på att nå webbplatser associerade med kurder och Kurdistans arbetarparti (PKK).

Turkiet har varit i konflikt med kurdiska oppositionsgrupper, främst representerade av PKK, i decennier. Tiotusentals av etniska kurder bor i Nederländerna.

"Du kan föreställa dig att en angripare som ansluter sig till turkiska politiska intressen har ett betydande intresse av var de oliktänkande kurderna befinner sig i Europa", varnar en medlem av Hunt & Hacketts forskargrupp, som valde att förbli anonym för den här historien.

Havssköldpaddans återkomst från utrotning

Bevis på havssköldpaddsaktivitet går tillbaka till 2017, men gruppen var bara först upptäckt i 2019. Vid den tiden hade det redan äventyrat mer än 40 organisationer – inklusive många i regeringen och militären – spridda över 13 länder, främst i Mellanöstern och Afrika.

Vart och ett av dessa fall involverade en DNS-kapning, manipulering av måls DNS-poster för att omdirigera inkommande trafik till deras egna servrar, innan de skickades vidare till deras avsedda destinationer.

Under flera år sedan har nyheterna om Sea Turtle varit sparsamma. Men som nya bevis indikerar, försvann det aldrig riktigt, eller ens förändrades så mycket.

Till exempel, i en typisk kampanj från början av 2023, observerade Hunt & Hackett-forskare att gruppen fick tillgång till en organisations cPanel-webbhotellmiljö via en VPN-anslutning, och sedan använde den för att släppa ett informationsinsamlande Linux-omvänd skal som heter "SnappyTCP."

Exakt hur Sea Turtle skaffar de referenser som krävs för att utföra sin webbtrafikavlyssning är oklart, medger Hunt & Hackett-forskaren, men de tillgängliga alternativen är otaliga.

"Det kan vara så många saker, eftersom det är en webbserver. Du kan försöka brute force det, du kan prova läckta referenser, i princip vad som helst, speciellt om personerna som är värd för den webbservern hanterar den själva. Det kan vara fallet om det är en mindre organisation, där säkerhet är något som står på deras agenda, men kanske inte så högt [prioriterat]. Lösenordsåteranvändning, standardlösenord, vi ser dem alltför ofta överallt i världen.”

Det kanske inte var alltför sofistikerat, om resten av attacken är något att gå efter. Till exempel kan man förvänta sig att en nationalstatsansluten spiongrupp är mycket undvikande. Visserligen vidtog Sea Turtle några grundläggande försiktighetsåtgärder som att skriva över Linux-systemloggar. Å andra sidan var den värd för många av sina attackverktyg på en standard, offentligt (sedan borttaget) GitHub-konto.

Men i slutändan var attackerna åtminstone måttligt framgångsrika. "Det var mycket information som gick över gränsen", säger forskaren, den kanske mest känsliga instansen var ett helt e-postarkiv som stulits från en organisation med nära band till kurdiska politiska enheter.

Förbises Turkiet i cyberrymden?

Hunt & Hackett spårar tio APT-grupper som verkar i Turkiet. Alla är inte anslutna till staten, och ett par tillhör den kurdiska oppositionen, men även med den varningen verkar landet få proportionellt sett mindre press än många av dess motsvarigheter.

Det, säger forskaren, beror delvis på storleken.

"Om du tittar på Lazarus Group så är det 2,000 XNUMX personer som arbetar för Nordkorea. Kina har hela hackingprogram som är statligt sponsrade. Den stora mängden attacker från dessa länder gör dem mer kända och mer synliga, säger han.

Men, tillägger han, kan det också ha att göra med karaktären av regeringens mål i cyberrymden, eftersom "det viktigaste de är kända för är politiskt spionage. De vill veta var dissidenterna finns. De vill hitta oppositionen, vill veta var de är. Så skillnaden med iranierna, ryssarna, är att de tenderar att vara lite mer närvarande - speciellt ryssarna, om de distribuerar ransomware, vilket är typ deras MO."

"Du märker ransomware", säger han. "Spionage tenderar att gå obemärkt förbi."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition