Hollanda’daki telekomünikasyon, medya, internet servis sağlayıcıları (ISP’ler), bilgi teknolojisi (BT) servis sağlayıcıları ve Kürtçe web siteleri, Türkiye-nexus olarak bilinen bir tehdit aktörü tarafından gerçekleştirilen yeni bir siber casusluk kampanyasının parçası olarak hedef alındı. Deniz kaplumbağası.
Hollandalı güvenlik firması Hunt & Hackett Cuma günü yaptığı açıklamada, “Hedeflerin altyapısı tedarik zinciri ve adadan atlayan saldırılara karşı hassastı; saldırı grubu bunları azınlık grupları ve potansiyel siyasi muhalifler hakkında kişisel bilgiler gibi siyasi amaçlı bilgileri toplamak için kullanıyordu.” dedi. analiz.
“Çalınan bilgilerin belirli gruplar ve/veya bireyler üzerinde gözetim veya istihbarat toplanması amacıyla kullanılması muhtemeldir.”
Kozmik Kurt, Mermer Toz (eski adıyla Silicon), Teal Kurma ve UNC1326 adlarıyla da bilinen Deniz Kaplumbağası, ilk kez Nisan 2019’da Cisco Talos tarafından Orta Doğu ve Kuzey’deki kamu ve özel kuruluşları hedef alan devlet destekli saldırıların ayrıntılarıyla belgelendi. Afrika.
Grupla ilgili faaliyetlerin Ocak 2017’den bu yana devam ettiğine inanılıyor; öncelikle, belirli bir alanı sorgulamaya çalışan potansiyel hedefleri, kimlik bilgilerini toplayabilen aktör kontrollü bir sunucuya yönlendirmek için DNS korsanlığından yararlanılıyor.
Talos o dönemde şöyle demişti: “Aktörün çeşitli DNS kayıt şirketlerini ve kayıt merkezlerini hedef alma metodolojisi göz önüne alındığında, Deniz Kaplumbağası kampanyası neredeyse kesinlikle DNSpionage’dan daha ciddi bir tehdit oluşturuyor.”
Microsoft, 2021’in sonlarında, düşmanın Ermenistan, Kıbrıs, Yunanistan, Irak ve Suriye gibi ülkelerden stratejik Türk çıkarlarını karşılamak için istihbarat toplama faaliyeti yürüttüğünü ve telekom ve bilişim şirketlerini “arzuladıkları hedefe ulaşmak için bir dayanak oluşturma” amacıyla vurduğunu kaydetti. ” Bilinen güvenlik açıklarından yararlanılarak.
Daha sonra geçen ay, PricewaterhouseCoopers (PwC) Tehdit İstihbarat ekibine göre, düşmanın 2021 ile 2023 yılları arasında gerçekleştirilen saldırılarda Linux (ve Unix) sistemleri için SnappyTCP adı verilen basit bir ters TCP kabuğu kullandığı ortaya çıktı.
“Web kabuğu, Linux/Unix için temel özelliklere sahip basit bir ters TCP kabuğudur. [command-and-control] Şirket, “Bu, muhtemelen kalıcılığı sağlamak için de kullanılıyor” dedi. “En az iki ana değişken var; biri TLS üzerinden güvenli bir bağlantı oluşturmak için OpenSSL’yi kullanıyor, diğeri ise bu özelliği atlıyor ve istekleri açık metin olarak gönderiyor.”
Hunt & Hackett’ın son bulguları, Deniz Kaplumbağası’nın gizli casusluk odaklı bir grup olmaya devam ettiğini, radarın altından uçmak ve e-posta arşivlerini toplamak için savunmadan kaçınma teknikleri uyguladığını gösteriyor.
2023’te gözlemlenen saldırılardan birinde, SnappyTCP’yi sisteme dağıtmak için ilk erişim vektörü olarak güvenliği ihlal edilmiş ancak meşru bir cPanel hesabı kullanıldı. Saldırganların kimlik bilgilerini nasıl elde ettiği henüz bilinmiyor.
Firma, “Tehdit aktörü, SnappyTCP’yi kullanarak, web sitesinin internetten erişilebilen genel web dizininde tar aracıyla oluşturulan bir e-posta arşivinin bir kopyasını oluşturmak için sisteme komutlar gönderdi” dedi.
“Tehdit aktörünün, dosyayı doğrudan web dizininden indirerek e-posta arşivini sızdırmış olması kuvvetle muhtemeldir.”
Bu tür saldırıların oluşturduğu riskleri azaltmak için kuruluşların güçlü şifre politikaları uygulamaları, iki faktörlü kimlik doğrulama (2FA) uygulamaları, kaba kuvvet girişimleri olasılığını azaltmak için giriş yapma oranlarını sınırlama girişimleri, SSH trafiğini izlemeleri ve tüm sistemleri ve verileri saklamaları tavsiye edilir. yazılım güncel.