За почти два года жертвами кампании стали более 40 организаций в 13 странах мира.
Специалисты исследовательской команды Cisco Talos раскрыли подробности о масштабной кампании, окрещенной «Sea Turtle», в рамках которой злоумышленники используют перехват DNS для кражи учетных данных. Операция продолжается уже почти два года, за это время ее жертвами стали уже более четырех десятков организаций в тринадцати странах мира.
Сложность кампании указывает на то, что ее организатором является спонсируемая правительством группировка, однако экспертам пока не удалось установить конкретную причастность какой-либо страны. Список целевых объектов кампании включает разведслужбы, военные организации, энергетические предприятия, телекоммуникационные компании и интернет-провайдеров, расположенные в странах Ближнего Востока и Северной Африки.
Перехват DNS позволяет атакующим получить учетные данные и контролировать DNS-записи целевых организаций, при этом жертвы не подозревают, что находятся под атакой. Используя записи, злоумышленники могут перенаправлять трафик на якобы легитимные сайты, которые в действительности являются серверами преступников.
Эксперты отмечают, что нынешняя кампания отличается от операции DNSpionage, раскрытой в минувшем году, в том числе более агрессивным характером – в атаках организаторы «Sea Turtle» задействовали 16 серверов, а также ряд IP-адресов, ранее упоминавшихся в посвященных DNS-перехвату отчетах. Как отмечается, особое беспокойство должна внушать не дерзость киберпреступников, а то, что они подрывают фундамент, на котором основывается доверие к Интернету.
Примечательно, несмотря на резонанс, вызванный публикацией информации о различных кампаниях по DNS-перехвату, группа «Sea Turtle» не прекращает свою деятельность. Подобное поведение довольно необычно для проправительственных группировок, которые обычно прекращают активность, когда их ловят «на горячем».
Каждая атака начинается с фишинга или взлома с целью добычи учетных данных целевых организаций, поясняют исследователи. Далее атакующие получают доступ к реестру DNS и проводят атаку «человек посередине» для перехвата почтового и web-трафика жертв. Для сокрытия деятельности атакующие принимают различные меры, в том числе используют поддельные сертификаты Let’s Encrypts, Comodo или Sectigo.
Одним из способов остановить распространение взломов инфраструктуры DNS может быть блокировка регистра (registry lock) – серия дополнительных мер аутентификации и оповещения владельцев при попытке смены настроек домена. Однако, отмечают исследователи, многие регистры до сих пор не обеспечивают такой функции, в подобных случаях пользователям рекомендуется включить двухфакторную аутентификацию.
От классики до авангарда — наука во всех жанрах