Unter den vielen Cyber-Angriffen, die täglich entdeckt, gemeldet (aber nie öffentlich zugegeben) werden und sich häufig gegen große private oder öffentliche Unternehmen richten, hat einer aufgrund der Methoden, mit denen er durchgeführt wurde, besonders Aufmerksamkeit erregt: die sogenannte „Meeresschildkröte“. “, entdeckt vom IT-Sicherheitsteam „Talos Intelligence“ des amerikanischen multinationalen Konzerns Cisco, einem der bedeutendsten seiner Branche.
Talos erzählt uns davon Meeresschildkröte seit dem ersten dokumentierten Angriff, der DNS-Systeme kompromittiert hat.
Der Angriff richtete sich gegen nationale Sicherheitsorganisationen, große Energieunternehmen und Außenministerien in Nordafrika und im Nahen Osten. Um jedoch erfolgreich zu sein, wurden andere sekundäre Ziele ins Visier genommen, beispielsweise Telekommunikationsunternehmen und ISPs.
Dem Talos-Bericht zufolge wurden zwischen Januar 40 und der ersten Jahreshälfte 13 über 2017 Organisationen in 2019 Ländern kompromittiert, das wahre Ausmaß des Schadens muss jedoch noch abgeschätzt werden, da der Angriff noch nicht abgeschlossen ist ...
Was macht diese DNS-Angriffskampagne für Cisco-Experten so beängstigend?
Um diese Frage zu beantworten, müssen wir zunächst DNS definieren.
DNS ist die Abkürzung für Domain Name System, das System, das zur Auflösung von Hostnamen in IP-Adressen verwendet wird, d. h. es verknüpft eine IP-Adresse (Internet Protocol) mit einem Namen, den sich der Benutzer leicht merken kann. Dies ist eine der wichtigsten DNS-Funktionen, die wir jeden Tag sehen.
Die Methode des Angriffs besteht darin, die DNS-Dienste des Ziels zu manipulieren und dann einen Benutzer auf einen vom Angreifer kontrollierten Server umzuleiten. Dies führt anschließend zum Erwerb von Benutzeranmeldeinformationen und Passwörtern, die für den Zugriff auf andere Informationen verwendet werden.
All dies war dank Angriffstechniken möglich, die den Einsatz beider Elemente beinhalten Speerfischen dass die Verwendung von ausbeuten verschiedener Anwendungen.
Meeresschildkröte er handelte lange und unauffällig. Laut Talos nutzten die Angreifer einen einzigartigen Ansatz, bei dem DNS-Dienste nicht ständig überwacht werden.
Wie Talos uns mitteilt, gibt es drei mögliche Wege, auf denen die Angreifer auf die DNS-Dienste der betroffenen Organisationen zugegriffen haben könnten:
1. Durch Zugriff auf den DNS-Registrar (Unternehmen, das Domänennamen an Unternehmen liefert und deren DNS-Einträge über das Register verwaltet, d. h. eine Datenbank, die alle Domänennamen und die Unternehmen enthält, mit denen sie verbunden sind), durch den Erwerb von Zugangsdaten, die dazu gehören DNS-Registrant (die betroffene Organisation);
2. Durch den Standesbeamten selbst, Eingabe der oben genannten Registrierung und Manipulation von DNS-Einträgen mithilfe vonExtensible Provisioning Protocol (EPP), das für den Zugriff verwendete Protokoll Registratur. Durch den Erhalt der EPP-Schlüssel hätte der Angreifer die DNS-Einträge des anvisierten Registrars nach Belieben manipulieren können;
3. Die dritte Methode basiert aufDirekter Angriff auf DNS Registrierungen um auf DNS-Einträge zuzugreifen, Registrierungen Sie sind ein wichtiger Bestandteil des DNS-Dienstes, da jede Top-Level-Domain auf ihnen basiert.
Meeresschildkröte Wer auch immer diesen Angriff angeführt hat, hat lange und diskret gehandelt, sagt Talos, er habe einen einzigartigen Ansatz gewählt, bei dem DNS-Dienste nicht ständig überwacht würden.
Talos hat diesen Bericht im April dieses Jahres verfasst, aber die Aktivität der Gruppe wurde dadurch weder gestoppt noch verlangsamt, so dass Talos im Juli ein Update veröffentlichte.
Tatsächlich scheint es, dass in den letzten Monaten eine andere Angriffstechnik eingesetzt wurde. Jede angegriffene Entität richtete ihre DNS-Anfragen an einen persönlichen kompromittierten Server, der für jeden kompromittierten Benutzer unterschiedlich war, was es noch schwieriger macht, den Angriff zu vereiteln und zurückzuverfolgen.
Wir können daher sagen, dass wer auch immer hinter einem steht Meeresschildkröte Es handelt sich um eine skrupellose Gruppe, die wahrscheinlich von nationalen Interessen geleitet wird und über eine umfangreiche Infrastruktur verfügt.
Die Bedeutung von DNS-Diensten ist groß. Die gesamte Struktur des Internets und damit auch die gesamte Weltwirtschaft und die von allen Unternehmen und Regierungen bereitgestellten Dienstleistungen hängen von ihrem ordnungsgemäßen Funktionieren ab.
Aus diesem Grund sagt Talos, dass sie die Methoden, mit denen die Kampagne durchgeführt wird, entschieden ablehnt Meeresschildkröte (und die Organisation oder der Staat dahinter) führt diese Angriffsserie durch.
Diese Kampagne könnte der Beginn einer Reihe von Angriffen sein, die auf umfassendere und potenziell katastrophale Manipulationen am DNS-System abzielen und Folgen haben könnten, die uns alle betreffen könnten.
Um mehr zu erfahren:
https://blog.talosintelligence.com/2019/04/seaturtle.html
https://blog.talosintelligence.com/2019/07/sea-turtle-keeps-on-swimming....
https://www.cisco.com
https://www.kaspersky.it/resource-center/definitions/spear-phishing
