Các nhà cung cấp dịch vụ viễn thông, truyền thông, internet (ISP), các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã bị nhắm mục tiêu như một phần của chiến dịch gián điệp mạng mới được thực hiện bởi một tác nhân đe dọa Türkiye-nexus được gọi là Sea Turtle.
"Cơ sở hạ tầng của các mục tiêu dễ bị tấn công chuỗi cung ứng và nhảy đảo, mà nhóm tấn công sử dụng để thu thập thông tin có động cơ chính trị như thông tin cá nhân về các nhóm thiểu số và những người bất đồng chính kiến tiềm năng", công ty an ninh Hà Lan Hunt &; Hackett cho biết trong một phân tích hôm thứ Sáu.
"Thông tin bị đánh cắp có khả năng được khai thác để giám sát hoặc thu thập thông tin tình báo về các nhóm và hoặc cá nhân cụ thể."
Sea Turtle, còn được biết đến với cái tên Cosmic Wolf, Marbled Dust (trước đây là Silicon), Teal Kurma và UNC1326, lần đầu tiên được Cisco Talos ghi nhận vào tháng 4 năm 2019, mô tả chi tiết các cuộc tấn công do nhà nước tài trợ nhắm vào các thực thể công cộng và tư nhân ở Trung Đông và Bắc Phi.
Các hoạt động liên quan đến nhóm được cho là đã diễn ra kể từ tháng 1 năm 2017, chủ yếu tận dụng việc chiếm quyền điều khiển DNS để chuyển hướng các mục tiêu tiềm năng cố gắng truy vấn một tên miền cụ thể đến một máy chủ do tác nhân kiểm soát có khả năng thu thập thông tin đăng nhập của họ.
"Chiến dịch Sea Turtle gần như chắc chắn đặt ra một mối đe dọa nghiêm trọng hơn DNSpionage do phương pháp của diễn viên trong việc nhắm mục tiêu vào các nhà đăng ký và đăng ký DNS khác nhau", Talos nói vào thời điểm đó.
Vào cuối năm 2021, Microsoft lưu ý rằng đối thủ thực hiện thu thập thông tin tình báo để đáp ứng các lợi ích chiến lược của Thổ Nhĩ Kỳ từ các quốc gia như Armenia, Síp, Hy Lạp, Iraq và Syria, tấn công các công ty viễn thông và CNTT với mục đích "thiết lập chỗ đứng ở thượng nguồn mục tiêu mong muốn của họ" thông qua việc khai thác các lỗ hổng đã biết.
Sau đó, vào tháng trước, kẻ thù đã được tiết lộ là đang sử dụng một trình bao TCP ngược đơn giản cho các hệ thống Linux (và Unix) có tên SnappyTCP trong các cuộc tấn công được thực hiện từ năm 2021 đến năm 2023, theo nhóm Tình báo Mối đe dọa của PricewaterhouseCoopers (PwC).
"Web shell là một shell TCP đảo ngược đơn giản cho Linux / Unix có khả năng [ra lệnh và kiểm soát] cơ bản và cũng có khả năng được sử dụng để thiết lập sự bền bỉ", công ty cho biết. "Có ít nhất hai biến thể chính; một cái sử dụng OpenSSL để tạo kết nối an toàn qua TLS, trong khi cái kia bỏ qua khả năng này và gửi yêu cầu dưới dạng văn bản rõ ràng.
Những phát hiện mới nhất từ Hunt &; Hackett cho thấy Sea Turtle tiếp tục là một nhóm hoạt động gián điệp lén lút, thực hiện các kỹ thuật trốn tránh phòng thủ để bay dưới radar và thu thập tài liệu lưu trữ email.
Trong một trong những cuộc tấn công được quan sát vào năm 2023, một tài khoản cPanel bị xâm phạm nhưng hợp pháp đã được sử dụng làm vectơ truy cập ban đầu để triển khai SnappyTCP trên hệ thống. Hiện tại vẫn chưa biết làm thế nào những kẻ tấn công có được thông tin đăng nhập.
"Sử dụng SnappyTCP, tác nhân đe dọa đã gửi lệnh đến hệ thống để tạo một bản sao của kho lưu trữ email được tạo bằng công cụ tar, trong thư mục web công cộng của trang web có thể truy cập từ internet", công ty lưu ý.
"Rất có khả năng tác nhân đe dọa đã trích xuất kho lưu trữ email bằng cách tải xuống tệp trực tiếp từ thư mục web."
Để giảm thiểu rủi ro do các cuộc tấn công như vậy gây ra, các tổ chức nên thực thi chính sách mật khẩu mạnh, thực hiện xác thực hai yếu tố (2FA), nỗ lực đăng nhập giới hạn tốc độ để giảm cơ hội cố gắng vũ phu, giám sát lưu lượng SSH và cập nhật tất cả các hệ thống và phần mềm.