Una nuova campagna di cyber spionaggio, nota come Sea Turtle, sta prendendo di mira il settore delle telecomunicazioni e dell’IT nei Paesi Bassi. Questa campagna, riconducibile a un attore di minaccia con collegamenti alla Turchia, utilizza tecniche sofisticate per raccogliere informazioni politicamente motivate, come dati personali su gruppi minoritari e potenziali dissidenti politici.
Metodologie e Obiettivi
Sea Turtle, conosciuta anche con i nomi di Cosmic Wolf, Marbled Dust (precedentemente Silicon), Teal Kurma e UNC1326, è stata documentata per la prima volta da Cisco Talos nell’aprile 2019. Questa campagna si concentra su entità pubbliche e private in Medio Oriente e Nord Africa, utilizzando tecniche di hijacking del DNS per reindirizzare i bersagli verso server controllati dagli attaccanti, capaci di raccogliere le loro credenziali.
Attacchi Recenti e Tecniche Utilizzate
Nel 2021, Microsoft ha osservato che l’adversario svolge attività di raccolta di informazioni per soddisfare gli interessi strategici turchi, colpendo aziende di telecomunicazioni e IT per “stabilire una base a monte del loro obiettivo desiderato” attraverso l’exploit di vulnerabilità note. Più recentemente, è stato rivelato che l’adversario utilizza uno shell TCP reversibile semplice per sistemi Linux (e Unix) chiamato SnappyTCP in attacchi condotti tra il 2021 e il 2023.
Consigli per la Mitigazione
Per mitigare i rischi posti da tali attacchi, si consiglia alle organizzazioni di applicare politiche di password forti, implementare l’autenticazione a due fattori (2FA), limitare i tentativi di accesso per ridurre le possibilità di tentativi di forza bruta, monitorare il traffico SSH e mantenere aggiornati tutti i sistemi e i software.
Questa campagna di cyber spionaggio sottolinea l’importanza di una sicurezza informatica robusta e la necessità di una vigilanza costante contro minacce sempre più sofisticate e politicamente motivate.