Исследователи из подразделения кибербезопасности Talos компании Cisco обнаружили новую группу хакеров, которые на протяжении более двух лет атаковали 40 правительственных гигантов, а также разведывательные, телекоммуникационные и интернет-службы в 13 странах. Однако эта новая кампания имеет некоторое сходство с DNSpionage, которая перенаправляет пользователей на законные веб-сайты. Чтобы позволить им украсть ваши пароли, исследователи с большой уверенностью оценили, что кампания «Морская черепаха» была новой, отдельной операцией. Sea Turtle нацелена на предприятия, взламывая их DNS и указывая доменное имя цели вредоносным сетям. Техника подделки сайта, используемая хакерами, стоящими за кампанией, использует давние уязвимости DNS, которые могут быть использованы для того, чтобы ничего не подозревающие жертвы могли приписать свою идентификационную информацию поддельным страницам входа. Морские черепахи Морские атаки Черепахи сначала действуют, поражая цель с помощью гарпуна, чтобы закрепиться в сети. Известные уязвимости используются для атак на серверы и маршрутизаторы для перемещения внутри сети компании с целью получения сетевых паролей. Эта идентификационная информация используется для указания на рабочий стол реестра DNS организации путем обновления его записей так, чтобы имя домена указывало на ее IP-адрес и сервер. Контролируется пиратами. Затем хакеры используют операцию перехвата, чтобы позаимствовать идентификационные данные со страниц входа и получить дополнительные учетные данные для перемещения в сеть компании. Используя собственный сертификат HTTPS для целевого домена, злоумышленники могут создать впечатление подлинности вредоносного сервера. По данным Talos, хакеры использовали эту технику, чтобы скомпрометировать шведского DNS-провайдера Netnod, а также один из 13 корневых серверов, питающих глобальный сервер. DNS-инфраструктура. Используя аналогичную тактику, хакеры также смогли получить доступ к ЗАГСу, который управляет армянскими доменами верхнего уровня. Хотя «Талос» не раскрыл, какое государство стоит за группой, его исследователи говорят, что черепаха «очень способная». предоставил инструкции по смягчению последствий в сообщении в блоге, заявив, что «Talos предлагает использовать службу блокировки журналов, которая потребует внеполосного сообщения, прежде чем в него можно будет внести изменения». DNS-запись компании. Если ваш регистратор не предлагает услугу блокировки реестра, мы рекомендуем вам внедрить многофакторную аутентификацию, например DUO, для доступа к записям DNS вашей компании. Если вы считаете, что подверглись такому типу вторжения, мы рекомендуем вам выполнить сброс пароля в масштабе всей сети, желательно изнутри сети. компьютер в одобренной сети Наконец, мы рекомендуем применять исправления, особенно на компьютерах, подключенных к Интернету. Сетевые администраторы могут отслеживать пассивные записи DNS в своих доменах для обнаружения аномалий.