'เต่าทะเล' ของ APT ตุรกีปรากฏตัวอีกครั้งเพื่อสอดแนมฝ่ายค้านชาวเคิร์ด

กลุ่มที่สอดคล้องกับผลประโยชน์ของรัฐบาลตุรกีได้หันมาใช้การจารกรรมทางไซเบอร์ที่มีแรงจูงใจทางการเมืองเมื่อเร็ว ๆ นี้ โดยกำหนดเป้าหมายไปที่กลุ่มต่อต้านชาวเคิร์ดผ่านเป้าหมายห่วงโซ่อุปทานที่มีมูลค่าสูงในยุโรป ตะวันออกกลาง และแอฟริกาเหนือ

หลังจากหลุดพ้นจากความโดดเด่นไปหลายปี Sea Turtle (หรือที่รู้จักในชื่อ Teal Kurma, Marbled Dust, Silicon หรือ Cosmic Wolf) กลับมาอยู่ภายใต้การพิจารณาอีกครั้ง ล่าสุดต้องขอบคุณแคมเปญหลายรายการที่กำหนดเป้าหมายองค์กรในเนเธอร์แลนด์ ติดตามโดยกลุ่มวิจัย Hunt & Hackett. ตั้งแต่ปี 2021 เหยื่อของการรณรงค์เหล่านี้ได้ขยายเป้าหมายในสื่อ โทรคมนาคม ผู้ให้บริการอินเทอร์เน็ต และผู้ให้บริการด้านไอที โดยมุ่งเน้นเฉพาะในการเข้าถึงเว็บไซต์ที่เกี่ยวข้องกับชาวเคิร์ดและพรรคแรงงานเคอร์ดิสถาน (PKK)

ตุรกีขัดแย้งกับกลุ่มต่อต้านชาวเคิร์ดซึ่งมีกลุ่ม PKK เป็นตัวแทนมาเป็นเวลาหลายทศวรรษ หมื่น ของชาวเคิร์ดอาศัยอยู่ในเนเธอร์แลนด์

“คุณสามารถจินตนาการได้ว่าผู้โจมตีที่สอดคล้องกับผลประโยชน์ทางการเมืองของตุรกีมีความสนใจอย่างมากว่าชาวเคิร์ดผู้ไม่เห็นด้วยอยู่ที่ไหนในยุโรป” สมาชิกคนหนึ่งของทีมวิจัย Hunt & Hackett เตือน ซึ่งเลือกที่จะไม่เปิดเผยชื่อสำหรับเรื่องนี้

การกลับมาของเต่าทะเลจากการสูญพันธุ์

หลักฐานของกิจกรรมเต่าทะเลมีอายุย้อนไปถึงปี 2017 แต่มีเพียงกลุ่มเท่านั้น ค้นพบครั้งแรกใน 2019. เมื่อถึงเวลานั้น ได้โจมตีองค์กรมากกว่า 40 องค์กร ซึ่งรวมถึงองค์กรภาครัฐและกองทัพ กระจายอยู่ใน 13 ประเทศ โดยเฉพาะในตะวันออกกลางและแอฟริกา

แต่ละกรณีเกี่ยวข้องกับการจี้ DNS โดยจัดการบันทึก DNS ของเป้าหมายเพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลขาเข้าไปยังเซิร์ฟเวอร์ของตนเอง ก่อนที่จะส่งไปยังปลายทางที่ต้องการ

ในช่วงหลายปีที่ผ่านมา ข่าวเกี่ยวกับเต่าทะเลก็มีน้อยมาก แต่ตามหลักฐานล่าสุดบ่งชี้ว่ามันไม่เคยหายไปจริงๆ หรือเปลี่ยนแปลงไปมากขนาดนั้นด้วยซ้ำ

ตัวอย่างเช่น ในแคมเปญทั่วไปตั้งแต่ต้นปี 2023 นักวิจัยของ Hunt & Hackett สังเกตว่ากลุ่มเข้าถึงสภาพแวดล้อมเว็บโฮสติ้ง cPanel ขององค์กรผ่านการเชื่อมต่อ VPN จากนั้นใช้มันเพื่อทิ้ง Reverse Shell ของ Linux ที่รวบรวมข้อมูลที่เรียกว่า “SnappyTCP”

วิธีที่เต่าทะเลได้รับข้อมูลรับรองที่จำเป็นในการดำเนินการสกัดกั้นการรับส่งข้อมูลบนเว็บนั้นไม่ชัดเจน นักวิจัยของ Hunt & Hackett ยอมรับ แต่ตัวเลือกที่มีให้นั้นมีมากมาย

“อาจมีได้หลายอย่าง เพราะมันคือเว็บเซิร์ฟเวอร์ คุณสามารถลองใช้วิธีบังคับแบบเดรัจฉาน คุณอาจลองใช้ข้อมูลรับรองที่รั่วไหล โดยพื้นฐานแล้วอะไรก็ได้ โดยเฉพาะอย่างยิ่งหากบุคคลที่โฮสต์เว็บเซิร์ฟเวอร์นั้นจัดการด้วยตนเอง นั่นอาจเป็นกรณีหากเป็นองค์กรขนาดเล็กที่การรักษาความปลอดภัยเป็นสิ่งที่อยู่ในวาระการประชุมของพวกเขา แต่อาจไม่สูงนัก [ลำดับความสำคัญ] การใช้รหัสผ่านซ้ำ รหัสผ่านมาตรฐาน เราเห็นบ่อยเกินไปทุกที่ในโลก”

มันอาจจะไม่ได้ซับซ้อนเกินไป หากการโจมตีที่เหลือเป็นอะไรที่ผ่านไปได้ ตัวอย่างเช่น เราอาจคาดหวังว่ากลุ่มจารกรรมที่สอดคล้องกับรัฐชาติจะหลบเลี่ยงได้อย่างมาก แท้จริงแล้ว Sea Turtle ได้ใช้มาตรการป้องกันขั้นพื้นฐานบางอย่าง เช่น การเขียนทับบันทึกของระบบ Linux ในทางกลับกัน มันมีเครื่องมือโจมตีมากมายอยู่บน บัญชี GitHub มาตรฐาน สาธารณะ (ตั้งแต่ถูกลบออก).

อย่างไรก็ตาม ในท้ายที่สุด การโจมตีก็ประสบความสำเร็จในระดับปานกลาง “มีข้อมูลจำนวนมากที่หลุดลอยไป” นักวิจัยกล่าว ซึ่งอาจเป็นกรณีที่ละเอียดอ่อนที่สุดก็คือคลังอีเมลทั้งหมดที่ถูกขโมยไปจากองค์กรที่มีความสัมพันธ์ใกล้ชิดกับหน่วยงานทางการเมืองของชาวเคิร์ด

ตุรกีถูกมองข้ามในไซเบอร์สเปซหรือไม่?

Hunt & Hackett ติดตามกลุ่ม APT สิบกลุ่มที่ดำเนินงานในตุรกี ไม่ใช่ทุกคนที่มีความสอดคล้องกับรัฐ และมีสามีภรรยาคู่หนึ่งที่เป็นสมาชิกของฝ่ายค้านชาวเคิร์ด แต่ถึงแม้จะมีข้อแม้ดังกล่าว แต่ดูเหมือนว่าประเทศนี้จะได้รับสื่อน้อยกว่าสัดส่วนอื่นๆ เมื่อเทียบกับหลายประเทศ

นักวิจัยกล่าวว่าส่วนหนึ่งเนื่องมาจากขนาด

“ถ้าคุณดูที่กลุ่มลาซารัส นั่นคือคน 2,000 คนที่ทำงานให้กับเกาหลีเหนือ จีนมีโปรแกรมแฮ็กทั้งหมดที่ได้รับการสนับสนุนจากรัฐ ปริมาณการโจมตีที่แท้จริงจากประเทศเหล่านั้นทำให้พวกเขาเป็นที่รู้จักและมองเห็นได้มากขึ้น” เขากล่าว

อย่างไรก็ตาม เขากล่าวเสริมว่า มันอาจจะเกี่ยวข้องกับธรรมชาติของเป้าหมายของรัฐบาลในโลกไซเบอร์ด้วย เนื่องจาก “สิ่งสำคัญที่พวกเขาเป็นที่รู้จักคือการจารกรรมทางการเมือง พวกเขาต้องการทราบว่าผู้เห็นต่างอยู่ที่ไหน พวกเขาต้องการค้นหาฝ่ายตรงข้าม อยากรู้ว่าพวกเขาอยู่ที่ไหน ดังนั้นความแตกต่างระหว่างชาวอิหร่านและรัสเซียก็คือพวกเขามีแนวโน้มที่จะปรากฏตัวมากกว่านี้เล็กน้อย โดยเฉพาะชาวรัสเซีย หากพวกเขาปรับใช้แรนซัมแวร์ ซึ่งเป็น MO ของพวกเขา”

“คุณสังเกตเห็นแรนซัมแวร์” เขากล่าว “การจารกรรมมีแนวโน้มที่จะไม่มีใครสังเกตเห็น”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/threat-intelligence/turkish-apt-sea-turtle-spy-kurdish-opposition