Las telecomunicaciones, los medios de comunicación, los proveedores de servicios de Internet (ISP), los proveedores de servicios de tecnología de la información (TI) y los sitios web kurdos en los Países Bajos han sido atacados como parte de una nueva campaña de ciberespionaje emprendida por un actor de amenazas del nexo turco conocido como Tortuga marina.
«La infraestructura de los objetivos era susceptible a ataques a la cadena de suministro y a ataques de isla en isla, que el grupo de ataque utilizó para recopilar información con motivaciones políticas, como información personal sobre grupos minoritarios y posibles disidencias políticas», dijo la firma de seguridad holandesa Hunt & Hackett. dicho en un análisis del viernes.
«Es probable que la información robada sea explotada para vigilancia o recopilación de inteligencia sobre grupos o individuos específicos».
Sea Turtle, también conocida con los nombres Cosmic Wolf, Marbled Dust (anteriormente Silicon), Teal Kurma y UNC1326, fue documentado por primera vez por Cisco Talos en abril de 2019, detallando ataques patrocinados por el estado dirigido a entidades públicas y privadas en Oriente Medio y el Norte de África.
Se cree que las actividades asociadas con el grupo han estado en curso desde enero de 2017, principalmente aprovechando Secuestro de DNS para redirigir objetivos potenciales que intentan consultar un dominio específico a un servidor controlado por un actor capaz de recopilar sus credenciales.
«Es casi seguro que la campaña sobre las tortugas marinas representa una amenaza más grave que la Espionaje DNS dada la metodología del actor al apuntar a varios registradores y registros DNS», dijo Talos en ese momento.
A finales de 2021, Microsoft anotado que el adversario lleva a cabo una recopilación de inteligencia para satisfacer los intereses estratégicos turcos de países como Armenia, Chipre, Grecia, Irak y Siria, atacando a empresas de telecomunicaciones y TI con el objetivo de «establecer un punto de apoyo aguas arriba de su objetivo deseado» mediante la explotación de vulnerabilidades conocidas. .
Luego, el mes pasado, se reveló que el adversario estaba utilizando un shell TCP inverso simple para sistemas Linux (y Unix) llamado SnappyTCP en ataques llevados a cabo entre 2021 y 2023, según el equipo de Threat Intelligence de PricewaterhouseCoopers (PwC).
«El shell web es un shell TCP inverso simple para Linux/Unix que tiene funciones básicas [command-and-control] capacidades, y probablemente también se utilice para establecer la persistencia», dijo la empresa dicho. «Hay al menos dos variantes principales: una que utiliza OpenSSL para crear una conexión segura a través de TLS, mientras que la otra omite esta capacidad y envía solicitudes en texto sin cifrar».
Los últimos hallazgos de Hunt & Hackett muestran que Sea Turtle continúa siendo un grupo sigiloso centrado en el espionaje, que realiza técnicas de evasión de defensa para pasar desapercibido y recopilar archivos de correo electrónico.
En uno de los ataques observados en 2023, se utilizó una cuenta de cPanel comprometida pero legítima como vector de acceso inicial para implementar SnappyTCP en el sistema. Actualmente no se sabe cómo los atacantes obtuvieron las credenciales.
«Utilizando SnappyTCP, el actor de amenazas envió comandos al sistema para crear una copia de un archivo de correo electrónico creado con la herramienta tar, en el directorio web público del sitio web al que se podía acceder desde Internet», señaló la firma.
«Es muy probable que el actor de la amenaza haya extraído el archivo de correo electrónico descargándolo directamente del directorio web».
Para mitigar los riesgos que plantean dichos ataques, se recomienda que las organizaciones apliquen políticas de contraseñas seguras, implementen autenticación de dos factores (2FA), límite de tasa de intentos de inicio de sesión para reducir las posibilidades de intentos de fuerza bruta, monitorear el tráfico SSH y mantener todos los sistemas y software actualizados.