Türkiye hükümetinin çıkarlarıyla uyumlu bir grup, son zamanlarda Avrupa, Orta Doğu ve Kuzey Afrika’daki yüksek değerli tedarik zinciri hedefleri aracılığıyla Kürt muhalif grupları hedef alarak siyasi amaçlı siber casusluğunu ortaya çıkarıyor.
Birkaç yıldır ilgi odağı olmayan Deniz Kaplumbağası (diğer adıyla Teal Kurma, Mermer Toz, Silikon veya Kozmik Kurt), son zamanlarda Hollanda’daki kuruluşları hedef alan çok sayıda kampanya sayesinde yeniden inceleme altına alındı. Hunt & Hackett araştırma grubu tarafından takip ediliyor. 2021’den beri bu kampanyaların kurbanları medya, telekomünikasyon, internet servis sağlayıcıları ve BT servis sağlayıcılarındaki hedefleri kapsamakta ve özellikle Kürtler ve Kürdistan İşçi Partisi (PKK) ile bağlantılı web sitelerine erişmeye odaklanmaktadır.
Türkiye, başta PKK tarafından temsil edilen Kürt muhalif gruplarla onlarca yıldır çatışma halinde. Onbinlerce Hollanda’da etnik Kürtlerin çoğunluğu yaşıyor.
Hunt & Hackett araştırma ekibinin bu hikaye için isminin açıklanmasını istemeyen bir üyesi, “Türkiye’nin siyasi çıkarlarıyla uyumlu bir saldırganın, muhalif Kürtlerin Avrupa’da nerede olduğu konusunda önemli çıkarları olduğunu hayal edebilirsiniz” diye uyarıyor.
Deniz Kaplumbağası’nın Nesli Tükenmekten Geri Dönüşü
Deniz Kaplumbağası faaliyetine dair kanıtlar 2017’ye kadar uzanıyor, ancak grup yalnızca ilk kez 2019’da keşfedildi. O zamana kadar, başta Orta Doğu ve Afrika olmak üzere 13 ülkeye yayılmış, çoğu hükümet ve ordu mensupları da dahil olmak üzere 40’tan fazla organizasyonu tehlikeye atmıştı.
Bu vakaların her biri, hedeflerin DNS kayıtlarını, gelen trafiği amaçlanan hedeflere göndermeden önce kendi sunucularına yönlendirecek şekilde manipüle eden bir DNS ele geçirme işlemi içeriyordu.
O zamandan bu yana, Deniz Kaplumbağası ile ilgili haberler seyrekleşti. Ancak son zamanlardaki kanıtların da gösterdiği gibi, aslında hiçbir zaman ortadan kaybolmadı, hatta o kadar da değişmedi.
Örneğin, 2023’ün başlarındaki tipik bir kampanyada Hunt & Hackett araştırmacıları, grubun bir VPN bağlantısı yoluyla bir kuruluşun cPanel Web barındırma ortamına eriştiğini ve ardından bunu “SnappyTCP” adı verilen bilgi toplayan bir Linux ters kabuğunu bırakmak için kullandığını gözlemledi.
Hunt & Hackett araştırmacısı, Deniz Kaplumbağası’nın Web trafiğini ele geçirmek için gerekli kimlik bilgilerini tam olarak nasıl elde ettiğinin belirsiz olduğunu ancak onlara sunulan seçeneklerin sayısız olduğunu kabul ediyor.
“Birçok şey olabilir, çünkü bu bir Web sunucusu. Onu kaba kuvvetle deneyebilir, sızdırılmış kimlik bilgilerini deneyebilirsiniz, temelde her şeyi deneyebilirsiniz, özellikle de o Web sunucusunu barındıran kişiler onu kendileri yönetiyorsa. Durum böyle olabilir. güvenliğin gündemlerinde yer aldığı ancak belki o kadar da yüksek olmayan daha küçük bir organizasyondur [up in priority]. Şifrelerin yeniden kullanımı, standart şifreler; bunların hepsini dünyanın her yerinde çok sık görüyoruz.”
Saldırının geri kalanı dikkate alınacaksa aşırı derecede karmaşık olmayabilir. Örneğin, ulus-devlet odaklı bir casusluk grubunun son derece kaçamak davranması beklenebilir. Aslında Deniz Kaplumbağası, Linux sistem kayıtlarının üzerine yazmak gibi bazı temel önlemleri aldı. Öte yandan saldırı araçlarının çoğunu da barındırıyordu. standart, genel (kaldırıldığından beri) GitHub hesabı.
Ancak sonuçta saldırılar en azından orta derecede başarılı oldu. Araştırmacı, “Sınırı aşan çok fazla bilgi vardı” diyor; belki de en hassas örnek, Kürt siyasi oluşumlarıyla yakın bağları olan bir kuruluştan çalınan e-posta arşivinin tamamıydı.
Türkiye Siber Uzayda Gözden mi Geçiyor?
Hunt & Hackett, Türkiye’de faaliyet gösteren on APT grubunu takip ediyor. Hepsi devletle aynı çizgide değil ve birkaçı da Kürt muhalefetine ait; ancak bu uyarıya rağmen ülke, birçok emsalinden orantısal olarak daha az baskı alıyor gibi görünüyor.
Araştırmacı bunun kısmen büyüklükten kaynaklandığını söylüyor.
“Lazarus Grubuna bakarsanız, Kuzey Kore için çalışan 2.000 kişi var. Çin’in tamamı devlet destekli bilgisayar korsanlığı programları var. Bu ülkelerden gelen saldırıların çok büyük olması onları daha bilinir ve daha görünür kılıyor” diyor.
Ancak bunun aynı zamanda hükümetin siber uzaydaki hedeflerinin doğasıyla da ilgili olabileceğini ekliyor: “Bilinen asıl şey siyasi casusluktur. Muhaliflerin nerede olduğunu bilmek istiyorlar. Muhalefeti bulmak istiyorlar, İranlılarla, yani Ruslarla arasındaki fark, onların biraz daha mevcut olma eğiliminde olmaları; özellikle de Ruslar, eğer fidye yazılımı dağıtırlarsa, ki bu da onların bir nevi MO’su.”
“Fidye yazılımını fark ettiniz” diyor. “Casusluk genellikle gözden kaçar.”