Sea Turtle: Angriff auf die gesamte Internetstruktur

(Di Francesco Rugolo)
12 / 08 / 19

Unter den zahlreichen Cyberangriffen, die entdeckt, gemeldet (aber nie öffentlich bekannt) werden und oft zu Lasten großer privater oder öffentlicher Unternehmen gehen, hat vor allem eine die Aufmerksamkeit auf sich gezogen: das sogenannte „Meer“ Turtle “, entdeckt vom Computersicherheitsteam„ Talos Intelligence “des amerikanischen multinationalen Cisco, eines der wichtigsten seiner Branche.

Talos spricht darüber Meeresschildkröte als erster dokumentierter Angriff, der DNS-Systeme kompromittierte.

Der Angriff richtete sich gegen nationale Sicherheitsorganisationen, große Energieunternehmen und Außenministerien in Nordafrika und im Nahen Osten. Um jedoch erfolgreich zu sein, wurden andere sekundäre Ziele wie Telekommunikation und Internetdienstanbieter ins Visier genommen.

Laut dem Talos-Bericht wurden zwischen dem Januar des 40 und der ersten Hälfte des 13 über 2017-Organisationen in 2019-Ländern kompromittiert, aber die wahre Größe des Schadens muss noch geschätzt werden, da der Angriff noch nicht abgeschlossen ist ...

Was macht diese Angriffskampagne auf DNS-Systeme in den Augen von Cisco-Experten so beängstigend?

Um diese Frage zu beantworten, müssen wir zuerst DNS definieren.
DNS ist die Abkürzung für Domain Name SystemDas System, das zum Auflösen von Hostnamen in IP-Adressen verwendet wird, dh zum Zuordnen einer IP-Adresse (Internet Protocol) zu einem benutzerfreundlichen Namen. Dies ist eine der wichtigsten DNS-Funktionen, die wir jeden Tag sehen können.

Die Methode des Angriffs besteht darin, die DNS-Dienste des Ziels zu manipulieren, um dann einen Benutzer auf einen vom Angreifer kontrollierten Server umzuleiten. Dies führt dazu, dass Anmeldeinformationen und Kennwörter der Benutzer erfasst werden, die für den Zugriff auf andere Informationen verwendet werden.

All dies war dank Angriffstechniken möglich, bei denen beide eingesetzt wurden Speerfischen dass die Verwendung von ausbeuten von verschiedenen Anwendungen.
Meeresschildkröte er handelte lange und diskret. Laut Talos hat der Angreifer einen einzigartigen Ansatz gewählt, da DNS-Dienste nicht ständig überwacht werden.

Laut Talos gibt es drei Möglichkeiten, wie Angreifer auf die DNS-Dienste der betroffenen Organisationen zugreifen können:
1. Durch den Zugriff auf den DNS-Registrar (Unternehmen, das Firmen Domainnamen zur Verfügung stellt und DNS - Einträge über die Registrierung verwaltet, dh eine Datenbank, die alle Domainnamen und die Firmen enthält, mit denen sie verbunden sind), durch den Erwerb von Zugangsdaten der DNS-Registrant (die betroffene Organisation);
2. Über denselben Registrar, geben Sie die zuvor erwähnte Registrierung ein und manipulieren Sie die DNS-Einträge mit derExtensible Provisioning Protocol (EPP), das Protokoll für den Zugriff auf die Registratur. Durch das Erhalten der EPP-Schlüssel hätte der Angreifer die DNS-Einträge des betroffenen Registrars nach Belieben manipulieren können.
3. Die dritte Methode basiert aufdirekter Angriff auf DNS Registrierungen um auf DNS-Einträge zuzugreifendas Registrierungen Sie sind ein wichtiger Bestandteil des DNS-Dienstes, da jede Top-Level-Domain auf ihnen basiert.

Meeresschildkröte hat lange und diskret gehandelt, wer diesen Angriff angeführt hat, sagt Talos, hat einen einzigartigen Ansatz gewählt, da DNS-Dienste nicht ständig überwacht werden.

Talos hat diesen Bericht im April dieses Jahres verfasst, aber dies hat die Aktivitäten der Gruppe nicht so sehr gestoppt oder verlangsamt, dass Talos im Juli ein Update veröffentlichte.

In der Tat scheint in den letzten Monaten eine andere Angriffstechnik angewendet worden zu sein. Jedes angegriffene Unternehmen hat seine DNS-Anfragen an einen manipulierten Server gerichtet, der für jeden kompromittierten Benutzer unterschiedlich ist, wodurch es noch schwieriger wird, den Angriff abzuwehren und zu verfolgen.

Wir können daher sagen, dass jeder hinterher ist Meeresschildkröte Es ist eine Gruppe ohne Skrupel, wahrscheinlich von nationalen Interessen getrieben und mit bemerkenswerten Infrastrukturen ausgestattet.

Die Bedeutung von DNS-Diensten ist groß. Die gesamte Struktur des Internets basiert auf seinem ordnungsgemäßen Funktionieren und damit auf der Gesamtheit der Weltwirtschaft und der Dienstleistungen, die von jeder Gesellschaft und Regierung bereitgestellt werden.

Aus diesem Grund spricht sich Talos entschieden gegen die Methoden aus, mit denen die Kampagne durchgeführt wird Meeresschildkröte (und die Organisation oder der Staat dahinter) setzt diese Reihe von Angriffen in die Praxis um.

Diese Kampagne könnte den Beginn einer Reihe von Angriffen darstellen, die darauf abzielen, das DNS-System umfassender und möglicherweise katastrophaler zu manipulieren, was zu Konsequenzen führen könnte, die jeden von uns betreffen.

Um mehr zu erfahren:

https://blog.talosintelligence.com/2019/04/seaturtle.html
https://blog.talosintelligence.com/2019/07/sea-turtle-keeps-on-swimming....
https://www.cisco.com
https://www.kaspersky.it/resource-center/definitions/spear-phishing