Telecommunicatie, media, internetproviders (ISP’s), informatietechnologie (IT)-serviceproviders en Koerdische websites in Nederland zijn het doelwit geweest als onderdeel van een nieuwe cyberspionagecampagne, ondernomen door een Türkiye-nexus-bedreigingsacteur die bekend staat als Zeeschildpad.
“De infrastructuur van de doelwitten was vatbaar voor aanvallen op de toeleveringsketen en eilandhoppen, die de aanvalsgroep gebruikte om politiek gemotiveerde informatie te verzamelen, zoals persoonlijke informatie over minderheidsgroepen en potentiële politieke dissidenten”, zei het Nederlandse beveiligingsbedrijf Hunt & Hackett vrijdag in een bericht. analyse.
“De gestolen informatie zal waarschijnlijk worden misbruikt voor surveillance of het verzamelen van inlichtingen over specifieke groepen en/of individuen.”
Sea Turtle, ook bekend onder de namen Cosmic Wolf, Marbled Dust (voorheen Silicon), Teal Kurma en UNC1326, werd voor het eerst gedocumenteerd door Cisco Talos in april 2019, met details over door de staat gesponsorde aanvallen gericht op publieke en private entiteiten in het Midden-Oosten en Noord-Amerika. Afrika.
Aangenomen wordt dat de activiteiten die verband houden met de groep al sinds januari 2017 aan de gang zijn, waarbij voornamelijk gebruik wordt gemaakt van DNS-kaping om potentiële doelen die proberen een specifiek domein te bevragen, om te leiden naar een door een actor bestuurde server die in staat is hun inloggegevens te verzamelen.
“De Sea Turtle-campagne vormt vrijwel zeker een ernstiger bedreiging dan DNSpionage, gezien de methodologie van de actor bij het targeten van verschillende DNS-registrars en registers”, zei Talos destijds.
Eind 2021 merkte Microsoft op dat de tegenstander inlichtingen verzamelt om strategische Turkse belangen uit landen als Armenië, Cyprus, Griekenland, Irak en Syrië te behartigen, waarbij telecom- en IT-bedrijven worden aangevallen met als doel ‘voet aan de grond te krijgen stroomopwaarts van hun gewenste doelwit’. “via misbruik van bekende kwetsbaarheden.
Vorige maand werd onthuld dat de tegenstander een eenvoudige omgekeerde TCP-shell voor Linux- (en Unix-)systemen gebruikte, genaamd SnappyTCP, bij aanvallen die tussen 2021 en 2023 werden uitgevoerd, volgens het PricewaterhouseCoopers (PwC) Threat Intelligence-team.
“De webshell is een eenvoudige omgekeerde TCP-shell voor Linux/Unix met basis [command-and-control] capaciteiten, en wordt waarschijnlijk ook gebruikt voor het vaststellen van doorzettingsvermogen”, aldus het bedrijf. “Er zijn minstens twee hoofdvarianten; één die OpenSSL gebruikt om een veilige verbinding via TLS te creëren, terwijl de andere deze mogelijkheid weglaat en verzoeken in leesbare tekst verzendt.”
De nieuwste bevindingen van Hunt & Hackett laten zien dat Sea Turtle nog steeds een heimelijke, op spionage gerichte groep is, die verdedigingsontwijkingstechnieken toepast om onder de radar te vliegen en e-mailarchieven te verzamelen.
Bij een van de aanvallen die in 2023 werden waargenomen, werd een gecompromitteerd maar legitiem cPanel-account gebruikt als initiële toegangsvector om SnappyTCP op het systeem te implementeren. Het is momenteel niet bekend hoe de aanvallers aan de inloggegevens zijn gekomen.
“Met behulp van SnappyTCP stuurde de bedreigingsacteur opdrachten naar het systeem om een kopie te maken van een e-mailarchief gemaakt met de tool tar, in de openbare webdirectory van de website die toegankelijk was via internet”, merkte het bedrijf op.
“Het is zeer waarschijnlijk dat de bedreigingsacteur het e-mailarchief heeft geëxfiltreerd door het bestand rechtstreeks vanuit de webmap te downloaden.”
Om de risico’s van dergelijke aanvallen te beperken, wordt organisaties geadviseerd een sterk wachtwoordbeleid af te dwingen, tweefactorauthenticatie (2FA) te implementeren, inlogpogingen te beperken om de kans op brute force-pogingen te verkleinen, SSH-verkeer te monitoren en alle systemen en software up-to-date.
