Кіберзлочинці атакують компанії через їх DNS-провайдерів

15:19
Кіберзлочинці атакують компанії через їх DNS-провайдерів

Кіберзлочинне угруповання Sea Turtle атакувало організацію ICS-Forth, керуючу грецькими доменами верхнього рівня .gr і .el.

   Про угруповання Sea Turtle фахівці Cisco Talos вперше розповіли в квітні нинішнього року. Зловмисники використовують вельми незвичайну техніку злому — замість того, щоб атакувати безпосередньо жертву, вони отримують доступ до облікових записів реєстратора домену та провайдерів керованого DNS і змінюють настройки DNS компанії.
   Шляхом модифікації записів DNS внутрішніх серверів зловмисники перенаправляють трафік, призначений для легітимних додатків і поштових серверів компанії, на підконтрольні їм сервери, здійснюють атаку «людина посередині» і перехоплюють облікові дані.
    Вищеописані атаки є нетривалими (тривають від кількох годин до кількох днів) і непомітними (більшість компаній не перевіряють настройки DNS на предмет змін). За даними FireEye, угруповання діє в інтересах уряду Ірану.
    Для того щоб дістатися до жертви, Sea Turtle не гребує зламувати мережі провайдера цілком. Як повідомлялося в першому звіті Cisco Talos, угруповання зламало шведську організацію NetNod, керуючу точкою обміну трафіком. Атака дозволила зловмисникам маніпулювати записами DNS для sa1 [.] Dnsnode [.] Net і отримати доступ до облікового запису адміністратора доменів верхнього рівня Саудівської Аравії (.sa)
   У новому звіті Cisco Talos повідомляє про аналогічну атаку на грецьку організацію ICS-Forth. На даний момент дослідники не можуть сказати, що атакуючі робили в мережах ICS-Forth після злому. Невідомо також, для яких доменів зловмисники змінили налаштування DNS. Після того, як організація повідомила громадськість про злом, Sea Turtle залишалася в її мережах ще п'ять днів.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.