«لاک‌پشت دریایی» چگونه جاسوسی سایبری می‌کرد؟

«لاک‌پشت دریایی» چگونه جاسوسی سایبری می‌کرد؟
تاریخ انتشار : ۲۹ بهمن ۱۴۰۲

گزارش یک شرکت امنیت سایبری خبر از کارزار این گروه برای جمع‌آوری اطلاعات سایبری مورد نیاز دولت ترکیه می‌دهد.

به گزارش گرداب، شرکت امنیت سایبری Hunt & Hackett مستقر در هلند در گزارشی به بررسی فعالیت‌های گروه هکری لاک‌پشت دریایی پرداخته و آن را به دولت ترکیه منتسب کرد.

«پایگاه رسانه‌ای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزه‌های مختلف فناوری اقدام می‌کند. انتشار مطالب به معنای تایید محتوای آن نیست».


در سال گذشته شرکت ما شاهد حملات سایبری بسیاری در هلند بوده است. به نظر می‌رسد این حملات از سوی یک گروه سایبری انجام شده باشد که بر طبق منافع ترکیه عمل می‌کند. این امر نشان‌گر تشدید اقدامات ترکیه در جهت تحقق اهدافش در رابطه با کشور‌های غربی است.

شرکت ما این گروه را بیشتر با نام لاک‌پشت دریایی (Sea Turtle) رصد کرده است. در این مقاله مشاهدات و دانسته‌های قبلی خود درباره این گروه را در کنار با شیوه‌های رایج عملیاتی این گروه بیان می‌کنیم تا سازمان‌های مسئول امنیت سایبری بیشتر و بهتر از قبل برای مقابله با این تهدید مستمرِ پیشرفته (APT) آماده شوند.

زمینه‌ها، انگیزه‌ها و اهداف

شرکت ما معتقد است که «لاک‌پشت دریایی» یک گروه سایبری ترکیه‌ای است که در رده‌ی APT‌ها طبقه‌بندی می‌شود. این گروه به دنبال جاسوسی با استفاده از ابزار‌های سرقت اطلاعات بوده و مجموعه‌های بخش عمومی و خصوصی را هدف قرار می‌دهد.

در سال‌های ۲۰۱۷ تا ۲۰۱۹ این گروه بیشتر از ابزار سرقت DNS برای رسیدن به اهداف خود بهره می‌برد. با این حال از سال ۲۰۱۹ این گروه بدون تغییر دادن اهداف خود از ابزار‌های جایگزین برای اجرای حملات استفاده می‌کند تا بتواند ابزار‌های شناسایی حملات را دور بزند. از همان زمان اطلاعات در دسترس عموم نسبت به فعالیت‌های گروه محدود شده است.

در اکتبر ۲۰۲۱ مایکروسافت فعالیت‌های گروه سیلیکون (SILICON) را که در راستای اهداف استراتژیک ترکیه بود افشا کرد. سیلیکون نام دیگر لاک‌پشت دریایی است. سازمان‌های دیگری مانند مجموعه رسیدگی به رخداد‌های رایانه‌ای (CERT) در یونان نیز این گروه را رصد و تعدادی نشان‌گر نفوذ (IoC) را در ارتباط با این گروه و شیوه‌های عملیاتی آن در سال ۲۰۲۲ منتشر کرده‌اند.
به جز این موارد اطلاعات درباره لاک‌پشت دریایی محدود باقی مانده است و چنین به نظر می‌رسید که این گروه عمدتاً به صورت پنهان به فعالیت‌های خود ادامه می‌دهد. دانش عمومی درباره این گروه اخیراً و پس از انتشار گزارش‌های فنی PwC و پست وبلاگی StrikeReady درباره روش‌های عملی این گروه، افزایش پیدا کرده است.

امروزه مشخص شده است که گروه لاک‌پشت دریایی در درجه اول مجموعه‌هایی را در اروپا و خاورمیانه هدف قرار می‌دهد. تحقیقات نشان می‌دهد که این گروه عمدتاً بر نهاد‌های دولتی، گروه‌های کرد مانند پ. ک. ک. سازمان‌های غیردولتی (NGOs)، شرکت‌های مخابراتی، ارائه‌دهندگان اینترنت (ISPs)، ارائه‌دهندگان خدمات فناوری اطلاعات و شرکت‌های حوزه رسانه و سرگرمی متمرکز است. عمده هدف لاک‌پشت دریایی دستیابی به مخازن اطلاعات ارزشمند و حساس است.

همان‌گونه که در گزارش PwC آمده است، شرکت‌های مخابراتی از اطلاعات مشتری مانند فراداده‌های (Metadata) مربوط به اتصالات وب‌سایت‌ها و گزارش تماس‌ها نگهداری می‌کنند. علاوه بر این سایر شرکت‌های ارائه‌دهنده خدمات فناورانه نظیر خدمات میزبانی (Hosting) و امنیت سایبری نیز مستعد قرار گرفتن در فهرست اهداف حملات سایبری هستند؛ چه به صورت مستقیم و چه به صورت غیرمستقیم و از طریق زنجیره‌های تأمین. در صورت موفقیت‌آمیز بودن حمله، به احتمال زیاد از اطلاعات دزدیده شده برای جاسوسی و جمع‌آوری اطلاعات در مورد اهداف خاص استفاده می‌شود.

لاک‌پشت دریایی در شیوه‌های عملیاتی خود از رهگیری ترافیک اینترنتی هدایت شده به وب‌سایت‌های قربانی بهره می‌برد که می‌تواند منجر به دسترسی غیرمجاز به شبکه‌های دولتی و سایر سیستم‌های سازمانی شود. البته این شیوه‌ی حمله به شناسایی بهتر سایر حملات صورت گرفته از سوی این گروه کمک می‌کند و نکات ارزشمندی را در اختیار مجموعه‌ها و سازمان‌هایی قرار می‌دهد که در بخش‌ها و مناطق مورد نظر این گروه فعالیت دارند.

استفاده‌ی آن‌ها از مکانیزم شل معکوس (Reverse Shell) در عملیات، جمع‌آوری و استخراج داده‌های حساس را ساده‌تر کرده و به آن‌ها در رسیدن به اهداف‌شان کمک می‌کند. با بررسی دقیق قربانیان این حملات می‌توان دریافت که لاک‌پشت دریایی به دنبال دست یافتن به چه نوع اهدافی است.

شناسنامه‌ی گروه سایبری «لاک‌پشت دریایی»
• نام گروه: لاک‌پشت دریایی
• انگیزه: عمدتاً متمرکز بر جمع‌آوری اطلاعات اقتصادی و سیاسی از طریق جاسوسی و سرقت اطلاعات از مجموعه‌های دولتی و خصوصی
• بخش‌های مورد حمله: مجموعه‌های دولتی، گروه‌های کرد مانند پ. ک. ک. شرکت‌های ارتباطی، ISP ها، ارائه دهندگان خدمات IT، سازمان‌های غیردولتی (NGOs) و شرکت‌های بخش رسانه و سرگرمی
• تمرکز جغرافیایی: عمدتاً متمرکز بر اهدافی در اروپا، خاورمیانه و شمال آفریقا
• شیوه عملیاتی: ارسال مجدد ترافیک اینترنت کاربر، به دست آوردن کلید‌های رمزنگاری معتبر، اجرای حمله از نوع «مرد میانی» (Man-in-the-middle) برای دریافت اطلاعات احراز هویت و در نهایت کسب دسترسی اولیه به شبکه‌ی هدف
• پیچیدگی: با وجود اینکه برخی شیوه‌های مورد استفاده ماهیتاً فنی هستند، اما فعالیت‌های این گروه از نظر پیچیدگی در سطح متوسط ارزیابی می‌شوند. تمرکز اصلی این گروه بر استفاده از آسیب‌پذیری‌های عمومی برای کسب دسترسی اولیه به مجموعه هدف است و از منظر امنیت سایبری کار‌های آن‌ها ظرافت چندانی ندارد.
• استخراج اطلاعات: استفاده این گروه از شل معکوس در عملیات‌هایشان به آن‌ها کمک می‌کند که به هدف جمع‌آوری و استخراج اطلاعات دست پیدا کنند.

فعالیت‌های لاک‌پشت دریایی در هلند

شرکت ما فعالیت‌های متعددی از این گروه را در هلند رصد کرده است. شیوه‌های عملیاتی مورد استفاده در این حملات تا حد زیادی با آنچه که در گزارش‌های فوق‌الذکر آمده بود مطابقت دارد.
بررسی‌های ما بر روی یک از حملات آن‌ها نشان داد که این گروه ویژگی‌های مختص برخی گروه‌های جاسوسی سایبری که تحت حمایت دولتی هستند را از خود نشان می‌دهد. این گروه در درجه اول بر انجام جاسوسی در حوزه اقتصادی و سیاسی با هدف پیشبرد منافع ترکیه متمرکز است.

شرکت ما رصد فعالیت‌های این گروه را آغاز کرده است. مشاهدات ما نشان می‌دهد که لاک‌پشت دریایی حملات بیشتری را علیه اهداف خاصی در هلند انجام داده است. این حملات در راستای منافع ترکیه عمل بوده و نشانه‌ای از تشدید اقدامات ترکیه در رسیدن به مقاصد خود در هلند است.

به نظر می‌رسد حملات مشاهده شده در هلند بر شرکت‌های ارتباطی، رسانه‌ها، ISP ها، ارائه‌دهندگان خدمات فناوری اطلاعات و به طور خاص وب‌سایت‌های کردی (و از جمله وب‌سایت‌های وابسته به پ. ک. ک.) تمرکز دارند. زنجیره تأمین زیرساخت‌هایی که هدف قرار گرفته‌اند مشکوک به این هستند که مورد حمله سایبری قرار گرفته باشند. این گروه با انگیزه‌های سیاسی از این نقاط ضعف برای جمع‌آوری اطلاعاتی مانند اطلاعات شخصی در مورد اقلیت‌ها و مخالفان سیاسی احتمالی استفاده می‌کرد.

اطلاعات دزدیده شده احتمالاً برای مقاصد جاسوسی علیه گروه‌ها و یا افراد خاص مورد بهره‌برداری قرار می‌گیرد. به نظر می‌رسد که این با ادعا‌های مقامات آمریکایی در سال ۲۰۲۰ مطابقت داشته باشد. مقامات آمریکا مدعی بودند که برخی گروه‌های هکری در راستای منافع ترکیه عمل می‌کنند و در حملات خود بر دستیابی به هویت و موقعیت مکانی قربانیان تمرکز دارند. همچنین طبق گفته‌ی آمریکایی‌ها برخی دولت‌هایی که از نظر ژئوپلیتیکی برای ترکیه اهمیت دارند نیز در فهرست اهداف حملات قرار دارند.

طبق مشاهدات ما این گروه از تکنیک‌هایی برای دور زدن لایه‌های دفاعی بهره می‌برد تا مورد شناسایی قرار نگیرد. همچنین لاک‌پشت دریایی در حال جمع‌آوری داده‌های بالقوه حساس مانند آرشیو‌های ایمیل است.

مشاهدات کلیدی

این‌ها خلاصه‌ای از اصلی‌ترین نکاتی هستند که در رصد تحرکات این گروه در هلند به آن برخوردیم:
• در حملاتی که این گروه بین سال‌های ۲۰۲۱ تا ۲۰۲۳ انجام داده است و از جمله در آخرین حمله خود در سال ۲۰۲۳، آن‌ها از یک شل معکوس ‏TCP به نام SnappyTCP برای لینوکس/یونیکس استفاده کرده‌اند که به آن‌ها قابلیت‌های پایه را برای حفظ دسترسی خود به سیستم‌ها فراهم می‌کند.
• این گروه از کدی استفاده کردند که در یک حساب کاربری گیت‌هاب (GitHub) به صورت عمومی منتشر شده است. برآورد ما این است که این حساب کاربری از سوی این گروه کنترل می‌شود. این کد یا به درخواست این کاربر یا توسط گیت‌هاب از دسترس خارج شده است، اما در صورت نیاز نسخه‌ای از آن در اختیار متقاضیان قرار می‌گیرد.
• این گروه به حساب‌های کاربری cPanel نفوذ کرده و از SSH برای کسب دسترسی اولیه به شبکه IT مجموعه‌ی مورد هدف، استفاده می‌کند.
• این گروه از تکنیک‌هایی برای دور زدن لایه‌های دفاعی استفاده می‌کند.
• این گروه حداقل از یکی از مجموعه‌های مورد هدف خود یک آرشیو از ایمیل‌ها جمع‌آوری کرده است.

جزئیات فنی: حملات چگونه انجام می‌شد؟

در دوره‌ای که فعالیت‌های این گروه تحت بررسی شرکت ما قرار داشت، آخرین مجموعه از حملات لاک‌پشت دریایی از اوایل سال ۲۰۲۳ آغاز شد. در این حملات چندین سازمان مورد هدف قرار گرفتند. حین یکی از این حملات، مهاجم وارد یک حساب کاربری cPanel شد. سرویس cPanel یک سرویس مدیریت میزبانی وب (Web Hosting) است که توسط مجموعه‌های بسیار در جهان مورد استفاده قرار می‌گیرد. ورود به این حساب از یک آدرس IP متعلق به یکی از ارائه‌دهندگان VPN صورت گرفت.

این حساب cPanel یک حساب موجه و اصیل بود که مورد نفوذ مهاجم قرار گرفته بود. متأسفانه مشخص نیست که آن‌ها چگونه به اطلاعات لازم برای احراز هویت در cPanel دسترسی پیدا کرده‌اند. چند روز پس از آن یک cPanel WebMail Session برای همان حساب ایجاد شد.

این بار این ورود از یک آدرس IP متعلق به یک شرکت ارائه‌دهنده خدمات میزبانی وب انجام شد. همچنین از طریق همان آدرس IP از این حساب برای ورود (Log-in) به SSH استفاده شد. پس از این ورودها، فایل‌های کد منبع یک شل معکوس که با زبان برنامه‌نویسی C نوشته شده‌اند از آن آدرس آی‌پی.۲۴۵ دانلود شدند. سپس این فایل‌های کد منبع با استفاده از GCC کامپایل شدند.

تجزیه و تحلیل فایل‌های کد منبع نشان داد که آن‌ها حاوی کد خاصی هستند که مشابه کد پوسته معکوسی است که یک حساب کاربری آن را در GitHub به صورت عمومی ذخیره کرده بود. گمان می‌رود این حساب از سوی گروه لاک‌پشت دریایی مورد استفاده قرار می‌گیرد. به غیر از شرکت ما، اخیراً PwC نیز اخیراً استفاده از این شل معکوس که SnappyTCP نام دارد را مشاهده کرده و همانند ما آن را به گروه لاک‌پشت دریایی منتسب کرده است.