Sea Turtle: атака на всю структуру Интернета

(Ди Франческо Руголо)
12/08/19

Среди многочисленных кибератак, которые обнаруживаются каждый день, о которых сообщается (но никогда не признается публично), часто совершаемых в ущерб крупным частным или государственным компаниям, одна, в частности, привлекла внимание из-за методологий, используемых для ее разработки: так называемая "Sea Черепаха », обнаруженная группой ИТ-безопасности Talos Intelligence американской транснациональной корпорации Cisco, одной из самых важных в своем секторе.

Талос говорит об этом Морская черепаха как первая документированная атака, которая скомпрометировала системы DNS.

Атака была нацелена на организации национальной безопасности, крупные энергетические компании и министерства иностранных дел, расположенные в Северной Африке и на Ближнем Востоке, но для успеха были выбраны другие второстепенные цели, такие как телекоммуникационные компании и интернет-провайдеры.

Согласно отчету Talos, в период с января 40 года по первую половину 13 года были скомпрометированы более 2017 организаций в 2019 странах, но истинный размер ущерба еще предстоит оценить, поскольку атака еще не завершена ...

Что делает эту кампанию атаки на DNS-системы настолько пугающей в глазах экспертов Cisco?

Чтобы ответить на этот вопрос, мы должны сначала определить DNS.
DNS является аббревиатурой от Система имен доменов, система, которая используется для преобразования имен хостов в IP-адреса, то есть связывает IP-адрес (Интернет-протокол) с именем, которое легко запомнить пользователю. Это одна из самых важных функций DNS, которую мы видим каждый день.

Методология атаки состоит в вмешательстве в DNS-службы цели, чтобы затем перенаправить пользователя на сервер, контролируемый злоумышленником, что приводит к получению учетных данных и паролей пользователей, которые используются для получения доступа к другой информации.

Все это стало возможным благодаря атакам, предполагающим использование обоих фишинг копья что использование эксплуатировать различных приложений.
Морская черепаха он действовал долго и осторожно. По словам Талоса, исполнители этой атаки использовали уникальный подход, заключающийся в том, что службы DNS не отслеживаются постоянно.

Как говорит нам Талос, существует три возможных способа, которыми злоумышленники могут получить доступ к службам DNS затронутых организаций:
1. Получив доступ к регистратору DNS (компания, которая предоставляет доменные имена компаниям и управляет записями DNS через реестр, то есть базу данных, содержащую все доменные имена и компании, с которыми они связаны), путем приобретения учетных данных доступа, принадлежащих Регистратор DNS (затронутая организация);
2. Через того же регистраторавведя ранее упомянутый реестр и подделав записи DNS, используяРасширяемый протокол обеспечения (EPP), протокол, используемый для доступа к реестра. Получив ключи EPP, злоумышленник мог по своему желанию изменить DNS-записи целевого регистратора;
3. Третий метод основан напрямая атака на DNS реестры получить доступ к DNS-записям, то реестры они являются важной частью службы DNS, поскольку каждый домен верхнего уровня основан на них.

Морская черепаха Талос действовал долго и осторожно, руководивший этой атакой, говорит Талос, использовавший уникальный подход, поскольку службы DNS не контролируются постоянно.

Талос написал этот отчет в апреле этого года, но это не остановило и не замедлило деятельность группы, настолько, что в июле Талос опубликовал обновление.

Действительно, кажется, что в последние несколько месяцев была использована другая техника атаки. Каждый атакованный объект направлял свои DNS-запросы на взломанный сервер, отличающийся для каждого скомпрометированного пользователя, что еще больше затрудняет отслеживание атаки.

Поэтому мы можем сказать, что кто-то позади Морская черепаха это группа без сомнений, вероятно, движимая национальными интересами и наделенная замечательной инфраструктурой.

Важность услуг DNS велика. Вся структура Интернета основана на их правильном функционировании, а вместе с ним и совокупности мировой экономики и услуг, предоставляемых каждым обществом и правительством.

По этой причине Талос говорит, что он категорически против методологий кампании Морская черепаха (и организация или государство, стоящее за этим) применяет эту серию атак на практике.

Эта кампания может стать началом серии атак, направленных на вмешательство в систему DNS более масштабным и потенциально катастрофическим образом, что приведет к последствиям, которые могут затронуть каждого из нас.

Для получения дополнительной информации:

https://blog.talosintelligence.com/2019/04/seaturtle.html
https://blog.talosintelligence.com/2019/07/sea-turtle-keeps-on-swimming....
https://www.cisco.com
https://www.kaspersky.it/resource-center/definitions/spear-phishing

оборона рейнметалла