A török állam által támogatott, Sea Turtle nevű csoport több kémkedési akciót is végrehajtott Hollandiában, amelyek a távközlési vállalatokra, a médiára, az internetszolgáltatókra (ISP-kre) és kurd weboldalakra összpontosítottak.
Korábban a “Teal Kurma” és “Cosmic Wolf” néven is ismert Sea Turtle a közel-keleti régió, Svédország és az Egyesült Államok kormányzati és nem kormányzati szervezeteit, média, internet és informatikai szolgáltatóit célozta meg olyan technikákkal, mint a DNS eltérítés és a forgalom átirányítása.
A Hunt & Hackett elemzői 2021 és 2023 között figyelték meg a Sea Turtle tevékenységét Hollandiában, akik a közelmúltban új technikákat és rosszindulatú szoftvereket vezettek be. A Sea Turtle továbbra is egy közepesen kifinomult csoport, amely elsősorban ismert hibákat és kompromittált fiókokat használ a hozzáféréshez. A támadások konkrét szervezeteket céloznak meg, és úgy tűnik, hogy a török állam érdekeinek megfelelő gazdasági és politikai információk megszerzésére összpontosítanak.
A megfigyelt támadások során a kezdeti hozzáférést úgy érik el, hogy kompromittált cPanel fiókokat használnak a célinfrastruktúra SSH hozzáféréséhez. A legutóbbi támadásaikban alkalmaztak egy “SnappyTCP” névre keresztelt új eszközt, amely egy nyílt forráskódú fordított TCP shell Linuxhoz, alapvető command and control (C2) képességekkel. Az eszköz aktív marad a rendszerben, a “NoHup” parancs segítségével tartós backdoor-ként szolgál, megakadályozva annak megszüntetését még akkor is, ha a támadók kijelentkeznek.
A kutatók arról is beszámoltak, hogy az Adminer adatbáziskezelő eszköz telepítését látták az egyik kompromittált cPanel fiók nyilvános könyvtárában, ami tartós adathozzáférést és SQL parancsfuttatási képességeket biztosít számukra. A Sea Turtle felülírja a Linux rendszer naplófájljait, és törli a parancs (Bash) és a MySQL előzményfájlokat, hogy eltüntesse a jelenlétük és tevékenységük nyomát. A Hunt & Hackett több olyan esetet is naplózott, amikor a fenyegető szereplők virtuális magánhálózati (VPN) eszközzel csatlakoztak a cPanel fiókokhoz. Végül a támadók a kompromittált cPanel fiókok e-mail archívumainak másolatait egy weboldal nyilvános webes könyvtárában helyezték el. A “SnappyTCP” eszköz közvetlenül a C2 kiszolgálóra történő adatszivárgásra is használható TCP vagy HTTP kapcsolatok segítségével.
Annak ellenére, hogy a Sea Turtle technikái közepesen kifinomultnak minősülnek, a csoport továbbra is jelentős fenyegetést jelent a szervezetekre világszerte.
A fenyegetés mérséklésére vonatkozó ajánlások közé tartozik a szigorú hálózati felügyelet bevezetése, az MFA engedélyezése minden kritikus fiókon, valamint az SSH kitettség csökkentése a minimálisan szükséges rendszerekre.
