Un actor turco conocido como Sea Turtle ha llevado a cabo una nueva campaña de ciberespionaje dirigida a empresas de telecomunicaciones, medios de comunicación, proveedores de servicios de Internet y proveedores de servicios de tecnología de información (TI) relacionados con websites kurdos en los Países Bajos.
La firma de seguridad holandesa Hunt & Hackett afirmó que la infraestructura de los objetivos era vulnerable a los ataques de cadena de suministro e island-hopping, los cuales fueron utilizados por el grupo de ataque para recopilar información política como datos personales de grupos minoritarios y oponentes políticos potenciales.
Es probable que la información robada sea explotada para la vigilancia o la recolección de inteligencia de grupos o individuos específicos.
Sea Turtle, conocido también como Cosmic Wolf, Marbled Dust (anteriormente Silicon), Teal Kurma y UNC1326, fue descubierto por primera vez por Cisco Talos en abril de 2019, atacando entidades públicas y privadas en el Medio Oriente y el Norte de África.
Las actividades asociadas con este grupo se cree que han estado teniendo lugar desde enero de 2017, principalmente a través de secuestros de DNS para redirigir a los objetivos potenciales que intentaba buscar un dominio específico a un servidor controlado por el actor, capaz de recopilar sus credenciales.
En 2021, Microsoft señaló que el adversario lleva a cabo la recolección de inteligencia para cumplir con los intereses estratégicos de Turquía en países como Armenia, Chipre, Grecia, Iraq y Siria, atacando empresas de telecomunicaciones y TI para «establecer un punto de apoyo aguas arriba de su objetivo deseado» mediante la explotación de vulnerabilidades conocidas.
En ataques registrados entre 2021 y 2023, el adversario utilizó un simple shell TCP inverso para sistemas Linux (y Unix) llamado SnappyTCP, según el equipo de Threat Intelligence de PricewaterhouseCoopers (PwC).
El uso del shell TCP inverso es para tener control sobre los sistemas Linux/Unix, donde los atacantes podían enviar comandos para crear una copia de un archivo de correo electrónico en el directorio web público del sitio web al que se accedía desde Internet. Se cree que los atacantes han podido exfiltrar el archivo de correo electrónico descargándolo directamente desde el directorio web.
Los últimos descubrimientos de Hunt & Hackett muestran que Sea Turtle continúa siendo un grupo de espionaje sigiloso, llevando a cabo técnicas de evasión para no ser detectado y recolectando archivos de correo electrónico.
Para mitigar los riesgos que representan este tipo de ataques, se aconseja a las organizaciones implementar políticas de contraseñas sólidas, implementar autenticación de dos factores (2FA), limitar la tasa de intentos de inicio de sesión para reducir las posibilidades de ataques de fuerza bruta, monitorear el tráfico SSH y mantener todos los sistemas y software actualizados.
