Telecomunicações, mídia, provedores de serviços de internet (ISPs), provedores de serviços de tecnologia da informação (TI) e sites curdos na Holanda foram alvos de uma nova campanha de espionagem cibernética empreendida por um ator de ameaças com conexão com a Turquia conhecido como Sea Turtle.
"A infraestrutura dos alvos era suscetível a ataques de cadeia de suprimentos e ilha-hopping, que o grupo de ataque usou para coletar informações politicamente motivadas, como informações pessoais sobre grupos minoritários e possíveis dissidentes políticos", disse a empresa de segurança holandesa Hunt & Hackett em uma análise de sexta-feira.
"A informação roubada provavelmente será explorada para vigilância ou coleta de inteligência sobre grupos específicos e/ou indivíduos."
Sea Turtle, também conhecido pelos nomes Cosmic Wolf, Marbled Dust (anteriormente Silicon), Teal Kurma, e UNC1326, foi documentado pela primeira vez por Cisco Talos em abril de 2019, detalhando ataques patrocinados pelo estado visando entidades públicas e privadas no Oriente Médio e Norte da África.
As atividades associadas ao grupo se acredita terem sido contínuas desde janeiro de 2017, principalmente aproveitando o sequestro de DNS para redirecionar alvos em potencial que tentam consultar um domínio específico para um servidor controlado pelo ator capaz de colher suas credenciais.
"A campanha Sea Turtle quase certamente representa uma ameaça mais severa do que DNSpionage dado a metodologia do ator em atingir vários registradores e registros de DNS", disse Talos na época.
No final de 2021, a Microsoft observou que o adversário realiza coleta de inteligência para atender aos interesses estratégicos turcos de países como Armênia, Chipre, Grécia, Iraque e Síria, atacando empresas de telecom e TI com o objetivo de "estabelecer uma posição a montante de seu alvo desejado" através da exploração de vulnerabilidades conhecidas.
Então, no mês passado, o adversário foi revelado estar usando um simples shell TCP reverso para sistemas Linux (e Unix) chamado SnappyTCP em ataques realizados entre 2021 e 2023, de acordo com a equipe de Inteligência de Ameaças da PricewaterhouseCoopers (PwC).
"A concha web é um shell TCP reverso simples para Linux/Unix que tem capacidades básicas de [comando-e-controle], e também é provável que seja usado para estabelecer persistência", disse a empresa.
"Existem pelo menos duas variantes principais; uma que usa o OpenSSL para criar uma conexão segura através do TLS, enquanto a outra omite essa capacidade e envia solicitações em texto simples."
As últimas descobertas da Hunt & Hackett mostram que a Sea Turtle continua a ser um grupo focado em espionagem discreta, realizando técnicas de evasão de defesa para voar sob o radar e colher arquivos de emails.
Em um dos ataques observados em 2023, uma conta cPanel comprometida, mas legítima, foi usada como vetor de acesso inicial para implantar o SnappyTCP no sistema.
Atualmente, não se sabe como os atacantes obtiveram as credenciais.
"Usando o SnappyTCP, o ator de ameaças enviou comandos para o sistema para criar uma cópia de um arquivo de email criado com a ferramenta tar, no diretório web público do site acessível da internet", observou a empresa.
"É muito provável que o ator de ameaças exfiltrou o arquivo de email baixando diretamente o arquivo do diretório web."
Para mitigar os riscos representados por tais ataques, recomenda-se que as organizações apliquem políticas de senha fortes, implementem autenticação de dois fatores (2FA), limitem a taxa detentativas de login para reduzir as chances de tentativas de força bruta, monitorizem o tráfego SSH e mantenham todos os sistemas e software atualizados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...