Морская черепаха: атака на всю структуру интернета

(Ди Франческо Руголо)
12/08/19

Среди многочисленных кибератак, которые были обнаружены, о которых было сообщено (но никогда не было публично признано), и которые часто наносятся в ущерб крупным частным или государственным компаниям, одна из них привлекла к себе внимание в связи с методами, используемыми для ее осуществления: так называемые «морские» Черепаха », обнаруженная группой компьютерной безопасности Talos Intelligence американской многонациональной Cisco, одной из самых важных в своем секторе.

Талос говорит об этом Морская черепаха как первая документированная атака, которая скомпрометировала системы DNS.

Атака была направлена ​​на организации национальной безопасности, крупные энергетические компании и министерства иностранных дел, расположенные в Северной Африке и на Ближнем Востоке, но для успеха были выбраны другие второстепенные цели, такие как телекоммуникационные компании и интернет-провайдеры.

Согласно отчету Talos, между январским 40 и первой половиной 13 были скомпрометированы организации 2017 в странах 2019, но истинная величина ущерба еще предстоит оценить, поскольку атака еще не завершена ...

Что делает эту кампанию атаки на DNS-системы настолько пугающей в глазах экспертов Cisco?

Чтобы ответить на этот вопрос, мы должны сначала определить DNS.
DNS является аббревиатурой от Система имен доменовсистема, которая используется для преобразования имен хостов в IP-адреса, то есть для привязки IP-адреса (Интернет-протокола) к удобному для пользователя имени. Это одна из самых важных функций DNS, которую мы можем видеть каждый день.

Методология атаки состоит в вмешательстве в DNS-службы цели, чтобы затем перенаправить пользователя на сервер, контролируемый злоумышленником, что приводит к получению учетных данных и паролей пользователей, которые используются для получения доступа к другой информации.

Все это стало возможным благодаря методам атаки, которые включают использование обоих фишинг копья что использование эксплуатировать различных приложений.
Морская черепаха он действовал долго и осторожно. Кто произвел эту атаку, говорит Талос, использовал уникальный подход, поскольку службы DNS не контролируются постоянно.

Как говорит нам Талос, существует три возможных способа, которыми злоумышленники могут получить доступ к службам DNS затронутых организаций:
1. Получив доступ к регистратору DNS (компания, которая предоставляет доменные имена компаниям и управляет записями DNS через реестр, то есть базу данных, содержащую все доменные имена и компании, с которыми они связаны), путем приобретения учетных данных доступа, принадлежащих Регистратор DNS (затронутая организация);
2. Через того же регистраторавведя ранее упомянутый реестр и подделав записи DNS, используяРасширяемый протокол обеспечения (EPP), протокол, используемый для доступа к реестра, Получив ключи EPP, злоумышленник мог по желанию вмешаться в записи DNS целевого регистратора;
3. Третий метод основан напрямая атака на DNS реестры получить доступ к DNS-записям, то реестры они являются важной частью службы DNS, поскольку каждый домен верхнего уровня основан на них.

Морская черепаха Талос действовал долго и осторожно, руководивший этой атакой, говорит Талос, использовавший уникальный подход, поскольку службы DNS не контролируются постоянно.

Талос написал этот отчет в апреле этого года, но это не остановило и не замедлило деятельность группы, настолько, что в июле Талос опубликовал обновление.

Действительно, кажется, что в последние несколько месяцев была использована другая техника атаки. Каждый атакованный объект направлял свои DNS-запросы на взломанный сервер, отличающийся для каждого скомпрометированного пользователя, что еще больше затрудняет отслеживание атаки.

Поэтому мы можем сказать, что кто-то позади Морская черепаха это группа без сомнений, вероятно, движимая национальными интересами и наделенная замечательной инфраструктурой.

Важность услуг DNS велика. Вся структура Интернета основана на их правильном функционировании, а вместе с ним и совокупности мировой экономики и услуг, предоставляемых каждым обществом и правительством.

По этой причине Талос говорит, что он категорически против методологий кампании Морская черепаха (и организация или государство, стоящее за этим) применяет эту серию атак на практике.

Эта кампания может стать началом серии атак, направленных на вмешательство в систему DNS более масштабным и потенциально катастрофическим образом, что приведет к последствиям, которые могут затронуть каждого из нас.

Для получения дополнительной информации:

https://blog.talosintelligence.com/2019/04/seaturtle.html
https://blog.talosintelligence.com/2019/07/sea-turtle-keeps-on-swimming....
https://www.cisco.com
https://www.kaspersky.it/resource-center/definitions/spear-phishing