Badacze z jednostki Talos Cybersecurity Unit firmy Cisco odkryli nową grupę hakerów, którzy od ponad dwóch lat atakują 40 gigantów rządowych oraz usługi wywiadowcze, telekomunikacyjne i internetowe w 13 krajach. Ta nowa kampania ma jednak pewne podobieństwa do DNSpionage, która przekierowuje użytkowników do legalnych stron internetowych. Aby umożliwić im kradzież haseł, badacze z dużą pewnością ocenili, że kampania „Żółw morski” była nową, odrębną operacją. Sea Turtle atakuje firmy, przejmując ich DNS, kierując nazwę domeny celu do złośliwych sieci. Technika fałszowania witryn stosowana przez hakerów stojących za kampanią wykorzystuje długotrwałe luki w zabezpieczeniach DNS, które można wykorzystać, aby niczego niepodejrzewające ofiary mogły przypisać swoje dane osobowe fałszywym stronom logowania. Żółwie morskie Ataki morskie Żółwie najpierw atakują cel za pomocą harpuna, aby zapewnić sobie przyczółek w sieci. Znane luki są wykorzystywane do atakowania serwerów i routerów w celu przemieszczania się w obrębie sieci firmowej w celu uzyskania haseł specyficznych dla sieci. Te informacje identyfikacyjne służą do wskazania pulpitu rejestru DNS organizacji poprzez aktualizację jego rekordów, tak aby nazwa domeny wskazywała adres IP i serwer. Kontrolowany przez piratów. Następnie hakerzy wykorzystują operację przechwytywania, aby pożyczyć tożsamość ze stron logowania i uzyskać dodatkowe dane uwierzytelniające, aby przenieść ją do sieci firmowej. Używając własnego certyfikatu HTTPS dla domeny docelowej, osoby atakujące mogą sprawić wrażenie autentycznego złośliwego serwera. Według Talosa hakerzy wykorzystali tę technikę do zhakowania szwedzkiego dostawcy DNS Netnod, a także jednego z 13 serwerów głównych obsługujących serwer globalny. Infrastruktura DNS. Hakerom udało się również uzyskać dostęp do urzędu stanu cywilnego, który zarządza ormiańskimi domenami najwyższego poziomu, stosując podobną taktykę. Chociaż Talos nie ujawnił, jaki stan kryje się za tą grupą, jego badacze twierdzą, że żółw jest „wysoce zdolny”. przedstawił instrukcje dotyczące środków zaradczych w poście na blogu, stwierdzając, że „Talos sugeruje korzystanie z usługi blokowania dzienników, która będzie wymagała komunikatu poza pasmem, zanim będzie można wprowadzić w niej zmiany”. Rekord DNS firmy. Jeśli Twój rejestrator nie oferuje usługi blokady rejestru, zalecamy wdrożenie uwierzytelniania wieloskładnikowego, takiego jak DUO, aby uzyskać dostęp do rekordów DNS Twojej firmy. Jeśli uważasz, że padłeś ofiarą tego typu włamań, zalecamy zresetowanie hasła w całej sieci, najlepiej z poziomu sieci. komputer w zatwierdzonej sieci Na koniec zalecamy zainstalowanie poprawek, zwłaszcza na komputerach podłączonych do Internetu. Administratorzy sieci mogą monitorować pasywne rekordy DNS w swoich domenach, aby wykryć anomalie.