Das IT-Sicherheitsunternehmen Hunt & Hackett hat Cyberangriffe in den Niederlanden beobachtet, die mutmaßlich von der türkischen APT-Gruppierung Sea Turtle initiiert wurden. Der Cyberakteur ist auf Industriespionage und Informationsdiebstahl spezialisiert, wobei der Schwerpunkt auf politischen und wirtschaftlichen Informationen liegt, die im Interesse des türkischen Staates liegen.
Hunt & Hackett hat in den letzten Jahren mehrere Kampagnen von Sea Turtle beobachtet, die auf die Sektoren Telekommunikation, Medien, ISPs und IT-Dienstleistungen abzielten.
Die Vorgehensweise der Gruppierung umfasst das DNS-Hijacking, das Erlangen gültiger Verschlüsselungszertifikate und Man-in-the-Middle-Angriffe. Der Cyberakteur nutzt in der Regel öffentliche Schwachstellen für den Erstzugriff auf ein Opfersystem. Bei der Untersuchung technischer Details zu den jüngsten Angriffen, stellte Hunt & Hackett die Kompromittierung von cPanel-Accounts, die Verwendung einer Reverse-TCP-Shell namens SnappyTCP, Anti-Forensik-Maßnahmen sowie die Installation des Datenbankadministrationstools Adminer auf den Opfersystemen fest.
Der Bericht des IT-Sicherheitsunternehmens beschreibt die Vorgehensweise von Sea Turtle mit Hilfe des MITRE ATT&CK Frameworks und stellt Indicators of Compromise zur Verfügung. Angriffe der Gruppierung wurden in der Vergangenheit auch gegen deutsche Stellen beobachtet. Wir empfehlen daher, betroffene Systeme anhand der zur Verfügung gestellten technischen Indikatoren zu überprüfen und verdächtige Aktivitäten den Sicherheitsbehörden zu melden.