Le groupe de cyberespionnage soutenu par l’État turc tracked as Sea Turtle a mené de multiples campagnes d’espionnage aux Pays-Bas, en se concentrant sur les opérateurs de télécommunications, les médias, les fournisseurs de services Internet (FAI) et les sites Web kurdes.

Auparavant, Sea Turtle, également connue sous le nom de Teal Kurma et Cosmic Wolf, se concentrait sur la région du Moyen-Orient, ainsi que sur la Suède et les États-Unis, en utilisant des techniques telles que le piratage DNS et la redirection du trafic pour effectuer des attaques de l’homme du milieu contre des organisations gouvernementales et non gouvernementales, des médias, des FAI et des fournisseurs de services informatiques.

L’expansion récente aux Pays-Bas a été observée par les analystes de Hunt & Hackett, qui rapportent que Sea Turtle reste un groupe de menaces de sophistication modérée, utilisant principalement des failles connues et des comptes compromis pour l’accès initial tout en ne masquant pas efficacement leur trace d’activité.

Les récentes attaques
Hunt & Hackett dit avoir observé l’activité des tortues marines aux Pays-Bas entre 2021 et 2023, de nouvelles techniques et de nouveaux logiciels malveillants ayant été introduits récemment.

Les attaques ciblent des organisations spécifiques et semblent être axées sur l’acquisition de renseignements économiques et politiques conformes aux intérêts de l’État turc.

« On pense que ces cyberattaques sont orchestrées par des tortues marines opérant en accord avec les intérêts turcs, signalant une escalade dans la poursuite des objectifs de la Turquie aux Pays-Bas », lit-on dans le rapport.

« Les campagnes observées aux Pays-Bas semblent se concentrer sur les télécommunications, les médias, les FAI et les fournisseurs de services informatiques et plus particulièrement les sites Web kurdes (entre autres affiliés à PPK). »

L’accès initial dans les attaques observées est obtenu en utilisant des comptes cPanel compromis pour SSH sur l’infrastructure cible.

Un nouvel outil déployé lors des récentes attaques de tortues marines est « SnappyTCP », un shell TCP inversé open source pour Linux qui offre des capacités de commande et de contrôle de base (C2).

L’outil reste actif sur le système pour servir de porte dérobée persistante en utilisant la commande « NoHup », empêchant sa résiliation même lorsque les acteurs de la menace se sont déconnectés.

Les chercheurs rapportent également avoir vu l’installation de l’outil de gestion de base de données Adminer dans le répertoire public de l’un des comptes cPanel compromis, leur donnant un accès persistant aux données et des capacités d’exécution de commandes SQL.

Pour l’évasion, Sea Turtle écrase les fichiers journaux du système Linux et désactive la commande (Bash) et les fichiers d’historique MySQL pour effacer la trace de leur présence et de leurs activités.

En outre, Hunt & Hackett ont enregistré plusieurs cas d’acteurs de la menace se connectant aux comptes cPanel compromis à l’aide d’un outil de réseau privé virtuel (VPN).

Enfin, en ce qui concerne l’exfiltration de données, les attaquants ont créé des copies d’archives de courrier électronique à partir de comptes cPanel compromis et les ont placées dans le répertoire Web public d’un site Web, les rendant disponibles au téléchargement.

L’outil SnappyTCP, comme la plupart des shells inversés, peut également être utilisé pour l’exfiltration de données directement vers le serveur C2 à l’aide de connexions TCP ou HTTP.

Hunt & Hackett n’ont vu aucun cas de vol d’informations d’identification post-compromission, de tentatives de mouvement latéral ou de manipulation/effacement de données dans ces attaques.

Bien que les techniques de Sea Turtle soient classées comme moyennement sophistiquées, le groupe continue de constituer une menace importante pour les organisations à l’échelle mondiale.

Les recommandations pour atténuer cette menace incluent le déploiement d’une surveillance réseau stricte, l’activation de l’authentification multifacteur sur tous les comptes critiques et la réduction de l’exposition SSH aux systèmes minimaux requis.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *