Telecomunicazioni, media, fornitori di servizi internet (ISP), fornitori di servizi informatici (IT), e siti web curdi nei Paesi Bassi sono stati presi di mira come parte di una nuova campagna di spionaggio informatico condotta da un criminale informatico noto come Sea Turtle, connesso a Türkiye.
Cosa ci dicono gli esperti di sicurezza informatica riguardo a Sea Turtle
“Secondo un’analisi della società di sicurezza olandese Hunt & Hackett, l’infrastruttura degli obiettivi era suscettibile di attacchi alla catena di approvvigionamento e di ‘island-hopping’, che il gruppo di attacco ha utilizzato per raccogliere informazioni politicamente motivate, come informazioni personali su gruppi minoritari e dissensi politici potenziali,” ha dichiarato la società olandese in un’analisi pubblicata venerdì scorso, aggiungendo “Le informazioni rubate sono probabimente destinate a essere sfruttate per la sorveglianza o la raccolta di informazioni su gruppi specifici e/o individui.”
Sea Turtle, noto anche con i nomi Cosmic Wolf, Marbled Dust (precedentemente Silicon), Teal Kurma e UNC1326, è stato documentato per la prima volta da Cisco Talos nell’aprile 2019, con dettagli su attacchi promossi da uno stato rivolti ad entità pubbliche e private in Medio Oriente e Nord Africa.
Le attività associate al gruppo sono ritenute in corso dal gennaio 2017, principalmente sfruttando l’hijacking del DNS per reindirizzare potenziali bersagli che cercano di interrogare un dominio specifico verso un server controllato dall’autore capace di raccogliere le loro credenziali.
“Nel tempo, la campagna di Sea Turtle rappresenta quasi certamente una minaccia più grave rispetto a DNSpionage, data la metodologia dell’autore nel mirare vari registrar e registri DNS” ha dichiarato Talos all’epoca.
Alla fine del 2021, Microsoft ha reso noto che l’avversario effettua raccolta di intelligence per soddisfare gli interessi strategici turchi da paesi come Armenia, Cipro, Grecia, Iraq e Siria, colpendo società di telecomunicazioni e IT con l’obiettivo di “stabilire una presa a monte del loro obiettivo desiderato” attraverso lo sfruttamento di vulnerabilità conosciute.
Poi, il mese scorso, è stato rivelato che l’avversario stava utilizzando una semplice shell TCP inversa per sistemi Linux (e Unix) chiamata SnappyTCP in attacchi condotti tra il 2021 e il 2023, secondo il team di Threat Intelligence di PricewaterhouseCoopers (PwC).
“La web shell è una semplice shell TCP inversa per Linux/Unix che ha capacità di base di [command-and-control] ed è probabilmente utilizzata anche per stabilire la persistenza” ha dichiarato l’azienda. “Ci sono almeno due varianti principali; una che utilizza OpenSSL per creare una connessione sicura su TLS, mentre l’altra omette questa capacità e invia richieste in testo normale.”
Le ultime scoperte di Hunt & Hackett mostrano che Sea Turtle continua ad essere un gruppo di spionaggio furtivo, impegnato in tecniche di elusione della difesa per passare inosservato e raccogliere archivi email.
In uno degli attacchi osservati nel 2023, un account cPanel compromesso ma legittimo è stato utilizzato come vettore di accesso iniziale per distribuire SnappyTCP sul sistema; tuttavia al momento non è noto come gli attaccanti abbiano ottenuto le credenziali.
“Utilizzando SnappyTCP, l’autore minaccia ha inviato comandi al sistema per creare una copia di un archivio email creato con lo strumento tar, nella directory web pubblica del sito web accessibile da Internet” ha osservato l’azienda. “È molto probabile che l’autore abbia esfiltrato l’archivio email scaricando direttamente il file dalla directory web.”
Per mitigare i rischi di tali attacchi, si consiglia alle organizzazioni di applicare politiche di password robuste, implementare l’autenticazione a due fattori (2FA), limitare il numero di tentativi di accesso per ridurre le possibilità di attacchi di forza bruta, monitorare il traffico SSH e mantenere tutti i sistemi e il software aggiornati.