La campagne de cyberespionnage Sea Turtle cible les sociétés néerlandaises d’informatique et de télécommunications
Les télécommunications, les médias, les fournisseurs de services Internet (FAI), les fournisseurs de services informatiques et les sites Web kurdes aux Pays-Bas ont été ciblés dans le cadre d’une nouvelle campagne de cyberespionnage entreprise par un acteur menaçant lié à la Turquie connu sous le nom de Sea Turtle .
“L’infrastructure des cibles était sensible aux attaques de chaîne d’approvisionnement et d’île en île, que le groupe d’attaque a utilisées pour collecter des informations à motivation politique telles que des informations personnelles sur des groupes minoritaires et d’éventuelles dissidences politiques”, a déclaré vendredi la société de sécurité néerlandaise Hunt & Hackett. analyse.
“Les informations volées sont susceptibles d’être exploitées à des fins de surveillance ou de collecte de renseignements sur des groupes et/ou des individus spécifiques.”
Sea Turtle, également connue sous les noms de Cosmic Wolf, Marbled Dust (anciennement Silicon), Teal Kurma et UNC1326, a été documentée pour la première fois par Cisco Talos en avril 2019, détaillant les attaques parrainées par l’État ciblant des entités publiques et privées au Moyen-Orient et dans le Nord. Afrique.
Les activités associées au groupe seraient en cours depuis janvier 2017, tirant principalement parti du détournement de DNS pour rediriger les cibles potentielles tentant d’interroger un domaine spécifique vers un serveur contrôlé par un acteur capable de récolter leurs informations d’identification.
“La campagne Sea Turtle constitue presque certainement une menace plus grave que le DNSpionage étant donné la méthodologie utilisée par l’acteur pour cibler divers bureaux d’enregistrement et registres DNS”, avait déclaré Talos à l’époque.
Fin 2021, Microsoft a noté que l’adversaire menait une collecte de renseignements pour répondre aux intérêts stratégiques turcs dans des pays comme l’Arménie, Chypre, la Grèce, l’Irak et la Syrie, frappant des entreprises de télécommunications et d’informatique dans le but de « prendre pied en amont de leur cible souhaitée ». ” via l’exploitation de vulnérabilités connues.
Puis le mois dernier, il a été révélé que l’adversaire utilisait un simple shell TCP inversé pour les systèmes Linux (et Unix) appelé SnappyTCP lors d’attaques menées entre 2021 et 2023, selon l’équipe Threat Intelligence de PricewaterhouseCoopers (PwC).
“Le shell Web est un simple shell TCP inversé pour Linux/Unix qui possède des capacités de base [de commande et de contrôle] et est également probablement utilisé pour établir la persistance”, a déclaré la société . “Il existe au moins deux variantes principales : l’une qui utilise OpenSSL pour créer une connexion sécurisée via TLS, tandis que l’autre omet cette capacité et envoie des requêtes en texte clair.”
Les dernières découvertes de Hunt & Hackett montrent que Sea Turtle continue d’être un groupe furtif axé sur l’espionnage, appliquant des techniques d’évasion de défense pour passer sous le radar et récolter des archives de courrier électronique.
Dans l’une des attaques observées en 2023, un compte cPanel compromis mais légitime a été utilisé comme vecteur d’accès initial pour déployer SnappyTCP sur le système. On ne sait actuellement pas comment les attaquants ont obtenu les informations d’identification.
“À l’aide de SnappyTCP, l’acteur malveillant a envoyé des commandes au système pour créer une copie d’une archive de courrier électronique créée avec l’outil tar, dans le répertoire Web public du site Web accessible depuis Internet”, a noté la société.
“Il est fort probable que l’auteur de la menace ait exfiltré les archives de courrier électronique en téléchargeant le fichier directement à partir du répertoire Web.”
Pour atténuer les risques posés par de telles attaques, il est conseillé aux organisations d’appliquer des politiques de mot de passe strictes, de mettre en œuvre une authentification à deux facteurs (2FA), de limiter le nombre de tentatives de connexion pour réduire les risques de tentatives de force brute, de surveiller le trafic SSH et de conserver tous les systèmes et logiciel à jour.