Deniz Kaplumbağası olarak takip edilen Türk devleti destekli siber casusluk grubu, Hollanda’da telekomünikasyon şirketlerine, medyaya, internet servis sağlayıcılarına (İSS’ler) ve Kürtçe web sitelerine odaklanan çok sayıda casusluk kampanyası yürütüyor.
Daha önce Teal Kurma ve Kozmik Kurt olarak da bilinen Deniz Kaplumbağası, hükümete karşı ortadaki adam saldırıları gerçekleştirmek için DNS ele geçirme ve trafik yönlendirme gibi teknikler kullanarak İsveç ve Amerika Birleşik Devletleri’nin yanı sıra Orta Doğu bölgesine odaklanmıştı. ve sivil toplum kuruluşları, medya, İSS’ler ve BT hizmet sağlayıcıları.
Hollanda’ya yapılan son genişleme, Deniz Kaplumbağası’nın orta düzeyde karmaşıklığa sahip bir tehdit grubu olmaya devam ettiğini, ilk erişim için öncelikle bilinen kusurları ve güvenliği ihlal edilmiş hesapları kullandığını ancak etkinlik izlerini etkili bir şekilde gizlemeyi başaramadığını bildiren Hunt & Hackett’teki analistler tarafından gözlemlendi.
Son saldırılar
Hunt & Hackett, 2021 ile 2023 yılları arasında Hollanda’da Deniz Kaplumbağası aktivitesini gözlemlediğini ve yakın zamanda yeni tekniklerin ve kötü amaçlı yazılımların tanıtıldığını söyledi.
Saldırılar belirli örgütleri hedef alıyor ve Türk devletinin çıkarlarıyla uyumlu ekonomik ve siyasi istihbarat elde etmeye odaklanmış gibi görünüyor.
Raporda, “Bu siber saldırıların, Türkiye’nin çıkarlarıyla uyumlu çalışan Deniz Kaplumbağası tarafından düzenlendiğine inanılıyor ve bu, Türkiye’nin Hollanda’daki hedef arayışında artışa işaret ediyor” deniyor.
“Hollanda’da gözlemlenen kampanyaların telekomünikasyon, medya, İSS’ler ve BT hizmet sağlayıcıları ile daha spesifik olarak Kürtçe web sitelerine (diğerlerinin yanı sıra PPK bağlantılı) odaklandığı görülüyor.”
Gözlemlenen saldırılarda ilk erişim, ele geçirilen cPanel hesaplarının hedef altyapıya SSH ile gönderilmesiyle sağlanıyor.
Son Deniz Kaplumbağası saldırılarında kullanılan yeni bir araç, Linux için temel komuta ve kontrol (C2) yetenekleri sunan açık kaynaklı bir ters TCP kabuğu olan ‘SnappyTCP’dir.
Araç, ‘NoHup’ komutunu kullanarak kalıcı bir arka kapı görevi görmek üzere sistemde aktif kalır ve tehdit aktörleri oturum kapattığında bile sonlandırılmasını engeller.
Araştırmacılar ayrıca, ele geçirilen cPanel hesaplarından birinin genel dizinine Adminer veritabanı yönetim aracının kurulduğunu gördüklerini, bunun onlara kalıcı veri erişimi ve SQL komut yürütme yetenekleri sağladığını bildirdiler.
Kaçış için Deniz Kaplumbağası, Linux sistem günlük dosyalarının üzerine yazar ve komut (Bash) ile MySQL geçmiş dosyalarının varlığını ve etkinliklerinin izini silmek için ayarları kaldırır.
Ayrıca Hunt & Hackett, tehdit aktörlerinin ele geçirilen cPanel hesaplarına sanal özel ağ (VPN) aracı kullanarak bağlandıkları çok sayıda vakayı günlüğe kaydetti.
Son olarak veri hırsızlığı söz konusu olduğunda, saldırganlar ele geçirilen cPanel hesaplarından e-posta arşivlerinin kopyalarını oluşturdu ve bunları bir web sitesinin genel web dizinine yerleştirip indirilmeye hazır hale getirdi.
SnappyTCP aracı, çoğu ters kabuk gibi, TCP veya HTTP bağlantılarını kullanarak doğrudan C2 sunucusuna veri sızdırmak için de kullanılabilir.
Hunt & Hackett, bu saldırılarda herhangi bir uzlaşma sonrası kimlik bilgisi hırsızlığı, yanal hareket girişimi veya veri manipülasyonu/silme vakasına tanık olmadı.
Deniz Kaplumbağası’nın teknikleri orta derecede gelişmiş olarak sınıflandırılmasına rağmen grup, dünya çapındaki kuruluşlar için önemli bir tehdit oluşturmaya devam ediyor.
Bu tehdidin azaltılmasına yönelik öneriler arasında sıkı ağ izlemenin dağıtılması, tüm kritik hesaplarda MFA’nın etkinleştirilmesi ve gereken minimum sistemlerde SSH’ye maruz kalmanın azaltılması yer alıyor.