Μια παγκόσμια Hacking Spree χρησιμοποιεί το DNS Trickery στα δεδομένα Nab


Οι ιρανοί χάκερ έχουν ασχοληθεί πρόσφατα, αυξάνοντας μια σειρά στοχοθετημένων επιθέσεων στη Μέση Ανατολή και στο εξωτερικό. Και μια έκθεση αυτής της εβδομάδας από την εταιρεία πληροφοριών πυρός FireEye περιγράφει μια τεράστια παγκόσμια εκστρατεία συλλογής δεδομένων, η οποία διεξήχθη τα τελευταία δύο χρόνια, ότι η επιχείρηση έχει προκαταρκτικά συνδεθεί με το Ιράν.

Χρησιμοποιώντας μια κλασική τακτική που υπονομεύει την ασφάλεια των δεδομένων καθώς μετακινείται στον ιστό, οι χάκερ έχουν καταλάβει ευαίσθητα δεδομένα όπως διαπιστευτήρια σύνδεσης και επιχειρηματικά στοιχεία από τηλεπικοινωνίες, παρόχους υπηρεσιών διαδικτύου, κυβερνητικούς οργανισμούς και άλλα ιδρύματα στη Μέση Ανατολή, τη Βόρεια Αφρική, την Ευρώπη και Βόρεια Αμερική. Οι ερευνητές της FireEye λένε ότι οι στόχοι και οι τύποι κλεμμένων δεδομένων είναι συνεπείς με τα συμφέροντα της ιρανικής κυβέρνησης για κατασκοπεία και ότι όποιος βρίσκεται πίσω από τη μαζική επίθεση έχει τώρα ένα πλήθος δεδομένων που θα μπορούσαν να τροφοδοτήσουν τα μελλοντικά κυβερνοεπιτάχυντα χρόνια.

"Είναι σύμφωνο με αυτό που έχουμε δει στο Ιράν πριν και τα σημάδια δείχνουν εκεί, αλλά θέλαμε απλώς να τα βγάλουμε γιατί επηρεάζουν δεκάδες οντότητες", λέει ο Ben Read, ανώτερος διευθυντής της ανάλυσης στον κυβερνο-κατασκοπεία στην FireEye. "Δεν είδαμε το τελευταίο από αυτά".

Για να απομακρύνουν τόσο πολύ ευαίσθητα δεδομένα από δεκάδες στόχους, οι επιτιθέμενοι έχουν χρησιμοποιήσει παραλλαγές στην τεχνική γνωστή ως αεροπειρατεία DNS. Αυτή η μέθοδος εκμεταλλεύεται τις αδυναμίες στα βασικά πρωτόκολλα που υποστηρίζουν το Διαδίκτυο για την εκτροπή των δεδομένων στα χέρια των εισβολέων.

"Οι Ιρανοί δεν περνούν αυτό το ποσό εργασίας μόνο για τη διασκέδαση του."

Ο Ντέιβ Άϊτελ, η Κυξτέρα

Όταν φορτώνετε έναν ιστότοπο σε ένα πρόγραμμα περιήγησης ή χρησιμοποιείτε μια υπηρεσία ιστού, λαμβάνετε το σωστό περιεχόμενο από το σωστό διακομιστή ιστού εξαιτίας μιας διαδικασίας πίσω από τις σκηνές των ελέγχων "Domain Name System". Ουσιαστικά, η έκδοση των αναζητήσεων τηλεφωνικού καταλόγου στο διαδίκτυο, οι διακομιστές DNS αποκαλύπτουν τη διαδρομή που χρειάζεται να κάνει ένας περιηγητής ή υπηρεσία για να συνδεθεί με τον προορισμό του.

Σκεφτείτε με αυτόν τον τρόπο: Αν αλλάξετε άλλους αριθμούς στον τηλεφωνικό κατάλογο με δική σας ή χειριστείτε την υποδομή, έτσι ώστε μια δέσμη άλλων αριθμών να κουδουνίζει επίσης στη γραμμή σας, μπορείτε να ακούσετε όλα τα είδη των κλήσεων χωρίς τους στόχους σας αναγκάζοντας κατ ' λανθασμένος.

Στην περίπτωση της μαζικής απόπειρας πειρατείας DNS που διαπίστωσε το FireEye, οι χάκερ χειραγωγούσαν αρχεία DNS από τον Ιανουάριο του 2017 για να παρακολουθήσουν δεδομένα ηλεκτρονικού ταχυδρομείου, ονόματα χρηστών, κωδικούς πρόσβασης και λεπτομέρειες σχετικά με τους ιστότοπους των οργανισμών.

Η ίδια η τεχνική δεν είναι καινοφανής. οι εισβολείς εκμεταλλεύτηκαν την απόπειρα DNS για χρόνια και η ερευνητική κοινότητα για θέματα ασφάλειας γνωρίζει την πιθανότητα αυτή εδώ και δεκαετίες. Αλλά η FireEye's Read επισημαίνει ότι η προσέγγιση έχει γίνει ακόμη πιο δημοφιλής πρόσφατα καθώς η συνειδητοποίηση της ανάγκης για ασφάλεια στον κυβερνοχώρο έχει αυξηθεί και τα θεσμικά όργανα έχουν σημειώσει πρόοδο στο κλείδωμα των δικτύων τους. Η αεροπειρατεία DNS είναι ένας σχετικά εύκολος τρόπος να αποκτήσετε πρόσβαση στα εσωτερικά δεδομένα χωρίς να χρειαστεί ποτέ να εισέλθετε στα συστήματα ενός οργανισμού.

"Αυτό που ακολουθούν είναι οι πληροφορίες," λέει η Read. "Δεν ενδιαφέρονται πραγματικά από πού προέρχονται."

Οι ιρανοί χάκερ ανέβασαν σταθερά τις επιχειρήσεις ψηφιακής συλλογής πληροφοριών κατά τα τελευταία πέντε χρόνια, στοχεύοντας σε όλα, από την κυβερνητική πληροφόρηση έως την πνευματική ιδιοκτησία και τα δεδομένα από ερευνητικά πανεπιστήμια. Συχνά χρησιμοποιούν εκλεπτυσμένες επιθέσεις δόλιου phishing σε αυτές τις καμπάνιες για να πάρουν τα διαπιστευτήρια και να διεισδύσουν στα δίκτυα. Αλλά όταν αυτό δεν είναι εφικτό ή δεν λειτουργεί, η αεροπειρατεία DNS μπορεί να γεμίζει κενά και να παρέχει πιο σκοτεινά διαπιστευτήρια.

Για να σας βοηθήσει να προστατεύσετε από μια επίθεση κατάχρησης DNS, το FireEye προτείνει ότι οι οργανισμοί θα πρέπει να παρακολουθούν τα πιστοποιητικά διακομιστή αλληλογραφίας και να ελέγχουν πού δείχνουν πραγματικά οι τομείς τους για να βοηθήσουν στη συμπεριφορά των ψαριών. «Υπονοεί ότι κανείς δεν παρακολουθεί όταν αλλάζουν οι πιστοί», λέει ο Dave Aitel, πρώην ερευνητής της NSA, ο οποίος είναι σήμερα επικεφαλής της υπηρεσίας τεχνολογίας ασφαλείας στη ασφαλιστική εταιρεία υποδομής Cyxtera. Και αν και οι επιτιθέμενοι επωφελούνται από αυτές τις ανοιχτές πόρτες οπουδήποτε μπορούν, το έργο που επιτέλεσαν στο να αντιμετωπίσουν τις στοχευμένες επιθέσεις εξακολουθεί να υποδηλώνει την αξία των δεδομένων που προκύπτουν από αυτά. "Οι Ιρανοί δεν περνούν αυτό το έργο μόνο για τη διασκέδαση", λέει ο Aitel.

Άλλες ερευνητικές ομάδες πληροφοριών για απειλές, συμπεριλαμβανομένου του Cisco Talos, έχουν προηγουμένως εντοπίσει διάφορα στοιχεία της κακόβουλης εκστρατείας. Και το FireEye υπογραμμίζει ότι οι εκστρατείες κατάχρησης DNS είναι δύσκολο να το χειριστούμε, επειδή μπορεί να είναι δύσκολο να καταλάβουμε πώς οι επιτιθέμενοι ήταν σε θέση να χειραγωγήσουν συγκεκριμένα αρχεία DNS και την έκταση των δεδομένων που διακυβεύονται.

Ακόμη και ο λόγος για τον οποίο αυτό το ξαφνικό χτύπημα μπορεί να αποτελέσει πρόγονο πολλών μελλοντικών επιθέσεων.

"Δεν έχουμε αποκαλύψει ακόμη το πλήρες πεδίο αυτής της συγκεκριμένης καμπάνιας", λέει η Read. "Ακόμη και μετά τη δημοσίευση της ανάρτησης ιστολογίου μας, βρήκαμε νέους τομείς που προφανώς είχαν λησμονηθεί από τότε".


Περισσότερες μεγάλες ιστορίες WIRED