Η υποστηριζόμενη από το τουρκικό κράτος ομάδα κυβερνοκατασκοπείας
που
παρακολουθείται ως Sea Turtle διεξάγει πολλαπλές εκστρατείες κατασκοπείας στην Ολλανδία, εστιάζοντας σε τηλεπικοινωνίες, μέσα ενημέρωσης, παρόχους υπηρεσιών Διαδικτύου (ISP) και κουρδικούς ιστότοπους.
Προηγουμένως, το Sea Turtle, γνωστό και ως Teal Kurma και Cosmic Wolf, επικεντρώθηκε στην περιοχή της Μέσης Ανατολής, καθώς και στη Σουηδία και τις Ηνωμένες Πολιτείες, χρησιμοποιώντας
τεχν
ικές όπως η αεροπειρατεία DNS και η ανακατεύθυνση της κυκλοφορίας για να εκτελέσει επιθέσεις man-in-the-middle κατά της κυβέρνησης. και μη κυβερνητικές οργανώσεις, μέσα ενημέρωσης, παρόχους υπηρεσιών Διαδικτύου (ISP) και παρόχους υπηρεσιών
πληροφορική
ς.
Οι πρόσφατες επιθέσεις
Οι επιθέσεις στοχεύουν συγκεκριμένες οργανώσεις και φαίνεται να επικεντρώνονται στην απόκτηση οικονο
μι
κών και πολιτικών πληροφοριών που ευθυγραμμίζονται με τα συμφέροντα του τουρκικού κράτους.
“Αυτές οι κυβερνοεπικαλίς πιστεύεται ότι ενορχηστίζονται από τη θαλάσσια χελώνα που λειτουργούν σε ευθυγράμμιση με τα τουρκικά συμφέροντα, σηματοδοτώντας μια κλιμάκωση στην επιδίωξη των στόχων της Τουρκίας στις Κάτω Χώρες”.
διαβάζει η έκθεση
.
“Οι εκστρατείες που παρατηρήθηκαν στις Κάτω Χώρες φαίνεται να επικεντρώνονται σε τηλεπικοινωνίες, μέσα μαζικής ενημέρωσης, ISP και παρόχους υπηρεσιών πληροφορικής και πιο συγκεκριμένα σε κούρδους ιστοσελίδες (μεταξύ άλλων που συνδέονται με το PPK)”.
Η αρχική πρόσβαση στις παρατηρούμενες επιθέσεις επιτυγχάνεται χρησιμοποιώντας παραβιασμένους λογαριασμούς cPanel στο SSH στην υποδομή-στόχο.
Ένα νέο εργαλείο που αναπτύσσεται στις πρόσφατες επιθέσεις της θαλάσσιας χελώνας είναι το ‘snappytcp’, ένα αντίστροφο κέλυφος TCP για το Linux που προσφέρει δυνατότητες βασικής εντολής και ελέγχου (C2).
Το εργαλείο παραμένει ενεργό στο σύστημα για να χρησιμεύσει ως επίμονο backdoor χρησιμοποιώντας την εντολή ‘Nohup’, εμποδίζοντας τον τερματισμό του ακόμη και όταν οι απειλές έχουν αποσυρθεί.
Οι ερευνητές αναφέρουν επίσης την εγκατάσταση του εργαλείου διαχείρισης της βάσης δεδομένων διαχειριστή στον δημόσιο κατάλογο ενός από τους συμβιβασμένους λογαριασμούς CPANEL, δίνοντάς τους δυνατότητες επίμονης πρόσβασης δεδομένων και δυνατοτήτων εκτέλεσης εντολών SQL.
Για τη φοροδιαφυγή, η θαλάσσια χελώνα αντικαθιστά τα αρχεία καταγραφής του συστήματος Linux και ασκούν την εντολή (bash) και τα αρχεία ιστορικού MySQL για να διαγράψουν το ίχνος της παρουσίας και των δραστηριοτήτων τους.
Τέλος, όταν πρόκειται για εξαίρεση δεδομένων, οι επιτιθέμενοι δημιούργησαν αντίγραφα αρχείων ηλεκτρονικού ταχυδρομείου από συμβιβασμένους λογαριασμούς CPANEL και τα τοποθετούσαν στον δημόσιο κατάλογο ιστοσελίδας ενός ιστότοπου, καθιστώντας τους διαθέσιμους για λήψη.
Το εργαλείο SnappyTCP, όπως τα περισσότερα αντίστροφα κελύφη, μπορεί επίσης να χρησιμοποιηθεί για εξ
αγωγή
δεδομένων απευθείας στον διακομιστή C2 χρησιμοποιώντας συνδέσεις TCP ή HTTP.
Παρά τις τεχνικές της θαλάσσιας χελώνας που ταξινομούνται ως μέτρια εξελιγμένες, η ομάδα συνεχίζει να αποτελεί σημαντική απειλή για τους οργανισμούς παγκοσμίως.
Οι συστάσεις για τον μετριασμό αυτής της απειλής περιλαμβάνουν την ανάπτυξη αυστηρής παρακολούθησης του δικτύου, την ενεργοποίηση του MFA σε όλους τους κρίσιμους λογαριασμούς και τη μείωση της έκθεσης SSH στα ελάχιστα απαιτούμενα συστήματα.
VIA:
bleepingcomputer.com
