Les télécommunications, les médias, les fournisseurs d’accès Internet (FAI), les fournisseurs de services informatiques et les sites Web kurdes aux Pays-Bas ont été ciblés dans le cadre d’une nouvelle campagne de cyberespionnage entreprise par un acteur menaçant lié à la Turquie connu sous le nom de Tortue de mer.
« L’infrastructure des cibles était sensible aux attaques de chaîne d’approvisionnement et d’île en île, que le groupe d’attaque a utilisées pour collecter des informations à motivation politique telles que des informations personnelles sur des groupes minoritaires et d’éventuelles dissidences politiques », a déclaré la société de sécurité néerlandaise Hunt & Hackett. dit dans une analyse de vendredi.
« Les informations volées sont susceptibles d’être exploitées à des fins de surveillance ou de collecte de renseignements sur des groupes et/ou des individus spécifiques. »
Sea Turtle, également connue sous les noms de Cosmic Wolf, Marbled Dust (anciennement Silicon), Teal Kurma et UNC1326, était documenté pour la première fois par Cisco Talos en avril 2019, détaillant attaques parrainées par l’État ciblant les entités publiques et privées du Moyen-Orient et de l’Afrique du Nord.
Les activités associées au groupe seraient en cours depuis janvier 2017, tirant principalement parti Détournement DNS pour rediriger les cibles potentielles tentant d’interroger un domaine spécifique vers un serveur contrôlé par un acteur capable de récolter leurs informations d’identification.
« La campagne contre les tortues marines constitue presque certainement une menace plus grave que Espionnage DNS compte tenu de la méthodologie utilisée par l’acteur pour cibler divers bureaux d’enregistrement et registres DNS », avait déclaré Talos à l’époque.
Fin 2021, Microsoft noté que l’adversaire effectue une collecte de renseignements pour répondre aux intérêts stratégiques turcs dans des pays comme l’Arménie, Chypre, la Grèce, l’Irak et la Syrie, frappant des sociétés de télécommunications et d’informatique dans le but de « prendre pied en amont de leur cible souhaitée » via l’exploitation de vulnérabilités connues .
Puis le mois dernier, il a été révélé que l’adversaire utilisait un simple shell TCP inversé pour les systèmes Linux (et Unix) appelé SnappyTCP lors d’attaques menées entre 2021 et 2023, selon l’équipe Threat Intelligence de PricewaterhouseCoopers (PwC).
« Le shell Web est un simple shell TCP inversé pour Linux/Unix doté de fonctionnalités de base [command-and-control] capacités, et est également probablement utilisé pour établir la persistance », la société dit. « Il existe au moins deux variantes principales : l’une qui utilise OpenSSL pour créer une connexion sécurisée via TLS, tandis que l’autre omet cette capacité et envoie des requêtes en texte clair. »
Les dernières découvertes de Hunt & Hackett montrent que Sea Turtle continue d’être un groupe furtif axé sur l’espionnage, appliquant des techniques d’évasion de défense pour passer sous le radar et récolter des archives de courrier électronique.
Dans l’une des attaques observées en 2023, un compte cPanel compromis mais légitime a été utilisé comme vecteur d’accès initial pour déployer SnappyTCP sur le système. On ne sait actuellement pas comment les attaquants ont obtenu les informations d’identification.
« À l’aide de SnappyTCP, l’acteur malveillant a envoyé des commandes au système pour créer une copie d’une archive de courrier électronique créée avec l’outil tar, dans le répertoire Web public du site Web accessible depuis Internet », a noté la société.
« Il est fort probable que l’auteur de la menace ait exfiltré les archives de courrier électronique en téléchargeant le fichier directement à partir du répertoire Web. »
Pour atténuer les risques posés par de telles attaques, il est conseillé aux organisations d’appliquer des politiques de mots de passe fortes, de mettre en œuvre une authentification à deux facteurs (2FA), tentatives de connexion à la limite de débit pour réduire les risques de tentatives de force brute, surveiller le trafic SSH et maintenir tous les systèmes et logiciels à jour.