Talos rapporterer om nye, sofistikeret hackergruppe, der manipulerer DNS -systemer

En hackergruppe er gået efter regeringsdomæner - de målrettede 40 regerings- og efterretningstjenester, telekom- og internetgiganter i 13 lande i mere end to år, sagde rapporter. Dette er en ny, sofistikeret team af hackere, der spionerer på snesevis af mål, sagde Kablet .

"Dette er en ny gruppe, der opererer på en relativt unik måde, som vi ikke har set før, bruge ny taktik, teknikker, og procedurer, "Craig Williams, direktør, outreach hos Cisco Talos, fortalte TechCrunch .

Forskere identificerede kampagnen og kaldte den "Havskildpadde". De er hos Ciscos Talos cybersikkerhedsenhed. Zack Whittaker, sikkerhedsredaktør på TechCrunch , udvidet på opdagelserne:Enheden "slåede alarm efter at have opdaget en hidtil uopdaget hackergruppe rettet mod en kernedel af internettets infrastruktur."

Sådan fungerer Sea Turtle:Den retter sig mod virksomheder ved at kapre deres DNS – at pege et måls domænenavn til en ondsindet server i stedet for til dets tilsigtede mål, sagde Anthony Spadafora, TechRadar.

Ars Technica udvidet med at forklare, hvad der sker:

Dan Goodin skrev, "angriberne ændrer først DNS -indstillinger for målrettede DNS -registratorer, teleselskaber, og internetudbydere – virksomheder som Cafax og Netnod. Angriberne bruger derefter deres kontrol over disse tjenester til at angribe primære mål, der bruger tjenesterne."

Rent faktisk, udnyttelsen udnyttede nogle længe kendte fejl i DNS, sagde Spadafora, og disse fejl kan bruges "til at narre intetanende ofre til at tilskrive deres legitimationsoplysninger på falske login-sider."

Han sagde, at "Ved at bruge deres eget HTTPS-certifikat til målets domæne, angriberne kan få en ondsindet server til at fremstå ægte."

Ifølge Talos, hackerne kompromitterede den svenske DNS-udbyder Netnod. Talos-teamet bloggede, at "I et andet tilfælde, angriberne var i stand til at kompromittere NetNod, en non-profit, uafhængig internetinfrastrukturorganisation baseret i Sverige." Ars Technica sagde Netnod også er operatør af i.root, en af ​​internettets grundlæggende 13 DNS-rodservere.

Ifølge Talos, hackerne brugte denne teknik til at kompromittere den svenske DNS-udbyder Netnod samt en af ​​de 13 rodservere, der driver den globale DNS-infrastruktur.

Dette var en "meget avanceret" hackergruppe, og "sandsynligvis" støttet af en nationalstat.

Talos-teamet postede en blog den 17. april med en note om bekymring om, hvad der kan komme:

"Selvom denne hændelse er begrænset til primært at målrette nationale sikkerhedsorganisationer i Mellemøsten og Nordafrika, og vi ønsker ikke at overvurdere konsekvenserne af denne specifikke kampagne, Vi er bekymrede over, at succesen med denne operation vil føre til, at aktører mere bredt angriber det globale DNS -system. "

Goodin bemærkede, i mellemtiden, at "En af de ting, der gør havskildpadden mere moden, er dens brug af en konstellation af udnyttelser, der tilsammen giver dens operatører mulighed for at få indledende adgang eller at bevæge sig sideværts inden for netværket af en målrettet organisation."

Hvad har Talos anbefalet som afbødningsstrategi?

Talos foreslog at bruge en registerlåsetjeneste, at kræve en meddelelse uden for båndet, før der kan ske ændringer i en organisations DNS-record.

Hvis din registrator ikke tilbyder en registreringslåstjeneste, Talos anbefalede multifaktorgodkendelse, f.eks., DUO, for at få adgang til organisationens DNS-registreringer.

"Hvis du har mistanke om, at du blev ramt af denne type aktivitetsindtrængen, vi anbefaler at indføre en netværksdækkende adgangskodenulstilling, helst fra en computer på et betroet netværk. Til sidst, vi anbefaler at anvende plastre, især på internetvendte maskiner. Netværksadministratorer kan overvåge passiv DNS-registrering på deres domæner, for at tjekke for abnormiteter."

© 2019 Science X Network