Хакеры из Sea Turtle получили доступ к трафику целых стран

Apr 18, 2019 21:47



Масштабную кампанию по перехвату DNS запустила группировка хакеров под кодовым названием Sea Turtle. Мошенники научились взламывать домены верхнего уровня, закрепленные за отдельными странами.

План-перехват

Команда экспертов по кибербезопасности Talos выявила несколько случаев перехвата DNS со стороны группировки хакеров, которую называют Sea Turtle. Мошенники уже атаковали более 40 организаций, в том числе ряд крупных телеком-компаний, интернет-провайдеров и регистраторов доменных имен.

Предполагается, что главная цель кибершпионов - это государственные ведомства. В том числе министерства иностранных дел, разведывательные управления, оборонные и энергетические предприятия.

Большинство из них, по данным Talos, базируется на Ближнем Востоке и в Северной Африке.

В ряде случаев хакерам удалось взломать домены верхнего уровня, которые привязаны к отдельным регионам. Как отмечает Wired, под угрозой мог оказаться весь трафик, который проходил через скомпрометированные домены.

Используя прием перехвата DNS-запросов, хакеры проводили так называемую атаку посредника. Она позволяет мошеннику вносить поправки в данные, которыми обмениваются две стороны, так что ни одна из них об этом не узнает. Таким образом кибершпионы получали доступ к переписке и веб-трафику жертв.

Прием перехвата устроен следующим образом. Обычно если пользователь заходит на сайт, например, на google.com, то запрос поступает на DNS-сервер, который в ответ направляет определенный IP-адрес. Однако взлом системы позволяет нарушить эту цепочку. В результате система будет перенаправлять пакеты данных на тот IP-адрес, который выгоден злоумышленнику.

Подрыв доверия

Эксперт Talos Крейг Уильямс считает, что тактика DNS-перехвата подрывает основы доверия в интернете. «Если вы находитесь в стране [с уязвимым доменом], как вы в принципе можете доверять DNS-системе?» - отмечает он.

Talos не удалось определить национальную принадлежность хакеров Sea Turtle. Также организация, входящая в состав Cisco, отказалась называть жертв группировки. Однако специалисты представили список стран, в которых базируются «мишени». Среди них Турция, ОАЭ, Кипр, Ирак, Ливан, Сирия и Армения.

Уильямс подтвердил, что армянский домен.am попал в уязвимую группу. Сведения о других странах он предоставлять не стал.

Перехват и подмена DNS-запросов становится все более популярной практикой среди хакеров, особенно на Ближнем Востоке. Несмотря на разоблачение, мошенники не планируют прекращать деятельность.

«Как только другие взломщики поймут, что эти методы действительно эффективно работают, они захотят сделать то же самое», - предупреждает Уильямс.

хакеры

Previous post Next post
Up