Gruppi di spionaggio cybernico mirano a settori IT e telecomunicazioni nei Paesi Bassi, rivelando nuove strategie e metodi d’attacco.
Il settore dell’IT e delle telecomunicazioni nei Paesi Bassi sta affrontando una nuova, insidiosa ondata di attacchi cybernetici. Il gruppo di cyber spionaggio, noto come Sea Turtle, ha colpito aziende e organizzazioni cruciali con tattiche sempre più sofisticate, manifestando così una minaccia costante per la cyber security europea e del Medio Oriente.
Secondo recenti indagini condotte dalla società di sicurezza olandese Hunt & Hackett, Sea Turtle, attivo dal 2017, ha rivolto le sue attenzioni verso entità governative, gruppi politici curdi, come il PKK, settori delle telecomunicazioni, fornitori di servizi internet, provider di servizi IT, ONG, e il campo dei media e dell’intrattenimento.
Inizialmente, tra il 2017 e il 2019, le campagne di questo gruppo avvenivano prevalentemente attraverso l’uso di hijacking dei sistemi DNS. Tuttavia, con il passare degli anni, Sea Turtle ha affinato le sue capacità di evasione. Nel 2021, Microsoft ha osservato il gruppo intento a raccogliere informazioni per scopi strategici turchi, delineando il profilo degli interessi specifici del paese.
Le tecniche attuali includono attacchi alla catena di approvvigionamento, l’island hopping e la raccolta di dati personali su gruppi minoritari e potenziali dissidenti politici, con lo scopo probabile di sorveglianza o raccolta di intelligenza su gruppi e individui specifici. La modalità operativa del gruppo prevede il dirottamento del traffico internet ai siti vittime e, potenzialmente, l’accesso non autorizzato alle reti governative e ad altre organizzazioni.
Un’importante campagna nella prima parte del 2023 ha visto l’APT utilizzare uno shell TCP inverso, denominato SnappyTCP, per bersagliare sistemi Linux/Unix, insieme al compromesso di account cPanel e l’uso di SSH per ottenere un primo accesso nell’ambiente dell’organizzazione bersaglio.
Hunt & Hackett ha anche notato l’intenzione dell’agente minaccioso di raccogliere l’archivio e-mail di una delle organizzazioni vittime, una pratica che rivela ulteriori implicazioni per la privacy dei dati coinvolti.
Per mitigare l’esposizione agli attacchi di Sea Turtle, i ricercatori suggeriscono diverse misure, incluso il dispiegamento di strumenti EDR, l’aggiornamento software per ridurre le vulnerabilità nei sistemi esposti, il limite dei tentativi di login e l’implementazione del filtraggio del traffico di rete in uscita.
Le raccomandazioni di sicurezza includono anche dettagli sugli Indicators of Compromise (IoCs), che possono aiutare le organizzazioni a identificare potenziali minacce e prenderle di petto con adeguate misure di sicurezza.