Политические диссиденты из Европы стали жертвами турецкой черепахи-шпиона

В Нидерландах проходит новая кибершпионская кампания, направленная на телекоммуникационные компании, интернет-провайдеров, ИТ-сервисы и курдские сайты. За атаками стоит группа под названием Sea Turtle, связанная с Турцией. Об этом сообщила голландская ИБ-компания Hunt&Hackett.

Согласно анализу фирмы, инфраструктура целей подвержена атакам на цепочку поставок и тактике «island-hopping» (прыжки по островам). В ходе атак собиралась информация, связанная с политикой, включая личные данные о меньшинствах и потенциальных политических диссидентах. Похищенные данные, вероятно, будут использоваться для слежки или сбора разведывательной информации о конкретных группах или личностях.

Группировка Sea Turtle (также известная под именами Cosmic Wolf, Marbled Dust (ранее Silicon), Teal Kurma и UNC1326) была впервые задокументирована Cisco Talos в апреле 2019 года. В докладе описывались спонсируемые правительством атаки, нацеленные на общественные и частные организации на Ближнем Востоке и в Северной Африке. Деятельность группы Sea Turtle началась в январе 2017 года и в основном включала в себя перехват DNS ( DNS Hijacking ) для перенаправления жертв на серверы злоумышленников с целью украсть учетные данные пользователей.

В конце 2021 года Microsoft указала, что Sea Turtle осуществляет сбор разведданных, соответствующих стратегическим интересам Турции в странах, таких как Армения, Кипр, Греция, Ирак и Сирия, атакуя телекоммуникационные и ИТ-компании с целью закрепления на пути к желаемой цели через эксплуатацию известных уязвимостей. В декабре 2023 года стало известно, что группа использует простую обратную TCP-оболочку для систем Linux (и Unix) под названием SnappyTCP в атаках, проведенных в период с 2021 по 2023 год.

Последние данные Hunt & Hackett показывают, что Sea Turtle продолжает оставаться скрытной группой, занимающейся шпионажем, применяющей методы уклонения, чтобы действовать незаметно и собирать архивы электронной почты.

Одна из атак в 2023 году включала использование скомпрометированного, но легитимного аккаунта cPanel в качестве первоначальной точки доступа для развертывания SnappyTCP в системе. Пока неизвестно, как атакующие получили учетные данные cPanel. Используя SnappyTCP, злоумышленник отправил в систему команды на создание копии архива электронной почты, созданного с помощью инструмента tar, в общедоступном веб-каталоге сайта. Весьма вероятно, что хакер проник в архив электронной почты, загрузив файл непосредственно из веб-каталога, отмечают специалисты.

Для смягчения рисков, связанных с такими атаками, организациям рекомендуется внедрять строгие политики паролей, двухфакторную аутентификацию, ограничение количества попыток входа для снижения вероятности перебора паролей, контролировать SSH-трафик и обновлять все системы и программное обеспечение.