▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

APT turco attacca ISP e telco olandesi

Si chiama Sea Turtle il gruppo turco che conduce attività poco sofisticate ma comunque pericolose.

Tecnologie/Scenari

Sea Turtle, un gruppo sostenuto dallo stato turco noto anche come Teal Kurma e Cosmic Wolf, in precedenza specializzato in attacchi cyber nella regione mediorientale, in Svezia e USA ha ampliato il proprio raggio d’azione attuando diverse campagne di spionaggio nei Paesi Bassi, per lo più contro Telco, Media, ISP. A rilevare tali attività tra il 2021 e il 2023 sono stati i ricercatori di Hunt & Hackett.

Stando a quanto evidenziato nel report ufficiale, l’attività di Sea Turtle è caratterizzata dall’uso di tecniche come il dirottamento DNS, il reindirizzamento del traffico, l'ottenimento di certificati di crittografia validi e attacchi man-in-the-middle per raccogliere le credenziali e ottenere l'accesso iniziale alla rete dell'organizzazione presa di mira. Queste ultime includono organizzazioni governative e non governative, media, ISP e fornitori di servizi IT. Gli analisti sottolineano che gli attacchi di questo threat actor sono da ritenersi di moderata sofisticazione, dato che sfruttano principalmente vulnerabilità note diffuse pubblicamente e account compromessi per l'accesso iniziale, senza riuscire a coprire efficacemente le tracce della propria attività.

Gli attacchi sono mirati e finalizzati ad acquisire informazioni economiche e politiche in linea con gli interessi dello Stato turco. Fra gli obiettivi storici figurano, oltre a quelli sopra indicati, gruppi (politici) curdi come il PKK, ONG e il settore dell'intrattenimento.


Hunt & Hackett riporta alcune considerazioni sulle campagne monitorate tra il 2021 e il 2023. La prima è che di recente è stata utilizzata una shell TCP inversa denominata SnappyTCP per Linux/Unix con funzionalità basilari di comando e controllo per stabilire la persistenza sui sistemi. I threat actor hanno usato codice di un account GitHub accessibile pubblicamente, probabilmente controllato dal gruppo stesso.

Interessanti sono le attività condotte all’interno delle reti target: gli analisti hanno osservato gli attaccanti eseguire tecniche di evasione della difesa per evitare di essere scoperti, hanno esfiltrato informazioni almeno da un archivio di posta elettronica di una delle organizzazioni vittime, creando copie di archivi email nella directory pubblica di un sito Web.

Non sono stati riscontrati casi di furto di credenziali post-compromissione, tentativi di movimenti laterali o manipolazione/cancellazione dei dati nel corso degli attacchi monitorati.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter