Hollanda’daki telekomünikasyon, medya, internet servis sağlayıcıları (ISP’ler), bilgi teknolojisi (BT) servis sağlayıcıları ve Kürtçe web siteleri, Türkiye-nexus olarak bilinen bir tehdit aktörü tarafından gerçekleştirilen yeni bir siber casusluk kampanyasının parçası olarak hedef alındı. Deniz kaplumbağası.
Hollandalı güvenlik firması Hunt & Hackett, “Hedeflerin altyapısı tedarik zinciri ve adadan atlayan saldırılara karşı hassastı; saldırı grubu bunları azınlık grupları ve potansiyel siyasi muhalifler hakkında kişisel bilgiler gibi siyasi amaçlı bilgileri toplamak için kullanıyordu.” söz konusu Cuma analizinde.
“Çalınan bilgilerin belirli grup ve/veya bireyler üzerinde gözetim veya istihbarat toplanması amacıyla kullanılması muhtemeldir.”
Kozmik Kurt, Mermer Toz (eski adıyla Silikon), Teal Kurma ve UNC1326 adlarıyla da bilinen Deniz Kaplumbağası, ilk belgelenen Nisan 2019’da Cisco Talos tarafından ayrıntılı olarak açıklanmıştır devlet destekli saldırılar Orta Doğu ve Kuzey Afrika’daki kamu ve özel kuruluşları hedef alıyor.
Grupla ilgili faaliyetlerin Ocak 2017’den beri devam ettiğine inanılıyor. DNS ele geçirme Belirli bir etki alanını sorgulamaya çalışan potansiyel hedefleri, kimlik bilgilerini toplayabilen aktör kontrollü bir sunucuya yönlendirmek için.
“Deniz Kaplumbağası kampanyası neredeyse kesinlikle daha ciddi bir tehdit oluşturuyor DNS casusluğu Aktörün çeşitli DNS kayıt şirketlerini ve kayıt merkezlerini hedefleme metodolojisi göz önüne alındığında,” dedi Talos o zamanlar.
2021’in sonlarında Microsoft kayıt edilmiş Düşmanın, Ermenistan, Kıbrıs, Yunanistan, Irak ve Suriye gibi ülkelerden stratejik Türk çıkarlarını karşılamak için istihbarat toplama faaliyetleri yürüttüğü ve bilinen zayıf noktalardan yararlanarak “arzu edilen hedefin yukarısında bir dayanak oluşturma” amacıyla telekom ve bilişim şirketlerini vurduğu belirtiliyor. .
Daha sonra geçen ay, PricewaterhouseCoopers (PwC) Tehdit İstihbarat ekibine göre, düşmanın 2021 ile 2023 yılları arasında gerçekleştirilen saldırılarda Linux (ve Unix) sistemleri için SnappyTCP adı verilen basit bir ters TCP kabuğu kullandığı ortaya çıktı.
“Web kabuğu, Linux/Unix için temel özelliklere sahip basit bir ters TCP kabuğudur. [command-and-control] yetenekler ve aynı zamanda kalıcılığı sağlamak için de kullanılması muhtemeldir”, şirket söz konusu. “En az iki ana değişken var; biri TLS üzerinden güvenli bir bağlantı oluşturmak için OpenSSL’yi kullanıyor, diğeri ise bu yeteneği atlıyor ve istekleri açık metin olarak gönderiyor.”
Hunt & Hackett’ın son bulguları, Deniz Kaplumbağası’nın gizli casusluk odaklı bir grup olmaya devam ettiğini, radarın altından uçmak ve e-posta arşivlerini toplamak için savunmadan kaçınma teknikleri uyguladığını gösteriyor.
2023’te gözlemlenen saldırılardan birinde, SnappyTCP’yi sisteme dağıtmak için ilk erişim vektörü olarak güvenliği ihlal edilmiş ancak meşru bir cPanel hesabı kullanıldı. Saldırganların kimlik bilgilerini nasıl elde ettiği henüz bilinmiyor.
Firma, “Tehdit aktörü, SnappyTCP’yi kullanarak, web sitesinin internetten erişilebilen genel web dizininde tar aracıyla oluşturulan bir e-posta arşivinin bir kopyasını oluşturmak için sisteme komutlar gönderdi” dedi.
“Tehdit aktörünün, dosyayı doğrudan web dizininden indirerek e-posta arşivine sızmış olması kuvvetle muhtemeldir.”
Bu tür saldırıların oluşturduğu riskleri azaltmak için kuruluşların güçlü parola politikaları uygulamaları, iki faktörlü kimlik doğrulama (2FA) uygulamaları ve hız limiti giriş denemeleri kaba kuvvet girişimleri olasılığını azaltmak, SSH trafiğini izlemek ve tüm sistemleri ve yazılımları güncel tutmak için.