Un gruppo di hacker ha perseguitato domini governativi:hanno preso di mira 40 agenzie governative e di intelligence, giganti delle telecomunicazioni e di Internet in 13 paesi da più di due anni, detti rapporti. Questo è un nuovo, sofisticato team di hacker che spiano dozzine di obiettivi, disse Cablato .

"Questo è un nuovo gruppo che opera in un modo relativamente unico che non abbiamo mai visto prima, usando nuove tattiche, tecniche, e procedure, "Craig Williams, direttore, sensibilizzazione presso Cisco Talos, detto TechCrunch .

I ricercatori hanno identificato la campagna e l'hanno soprannominata "Sea Turtle". Sono all'unità di sicurezza informatica Talos di Cisco. Zack Whittaker, editore di sicurezza presso TechCrunch , ha ampliato le scoperte:l'unità "ha lanciato l'allarme dopo aver scoperto un gruppo di hacker precedentemente sconosciuto che prendeva di mira una parte fondamentale dell'infrastruttura di Internet".

Come funziona Sea Turtle:prende di mira le aziende dirottando il loro DNS, puntando il nome di dominio di un bersaglio a un server dannoso invece che al suo obiettivo previsto, disse Antonio Spadafora, TechRadar.

Ars Tecnica ampliato spiegando cosa accade:

Dan Goodin ha scritto, "gli aggressori prima modificano le impostazioni DNS per i registrar DNS mirati, società di telecomunicazioni, e ISP—aziende come Cafax e Netnod. Gli aggressori usano quindi il loro controllo su questi servizi per attaccare obiettivi primari che utilizzano i servizi".

In realtà, l'exploit sfruttava alcuni difetti noti da tempo nel DNS, detto Spadafora, e questi difetti possono essere usati "per ingannare le vittime ignare nell'impugnare le proprie credenziali su pagine di accesso false".

Ha detto che "Utilizzando il proprio certificato HTTPS per il dominio del bersaglio, gli aggressori possono far sembrare autentico un server dannoso."

Secondo Talos, gli hacker hanno compromesso il provider DNS svedese Netnod. Il team di Talos ha scritto sul blog che "In un altro caso, gli aggressori sono riusciti a compromettere NetNod, senza scopo di lucro, organizzazione indipendente di infrastrutture Internet con sede in Svezia." Ars Tecnica detto Netnod è anche l'operatore di i.root, uno dei 13 root server DNS fondamentali di Internet.

Secondo Talos, gli hacker hanno utilizzato questa tecnica per compromettere il provider DNS svedese Netnod e uno dei 13 root server che alimentano l'infrastruttura DNS globale.

Questo era un gruppo di hacker "altamente avanzato", e "probabilmente" sostenuto da uno stato-nazione.

Il team di Talos ha pubblicato un blog il 17 aprile con una nota preoccupata per ciò che potrebbe accadere:

"Anche se questo incidente si limita a prendere di mira principalmente le organizzazioni di sicurezza nazionale in Medio Oriente e Nord Africa, e non vogliamo sopravvalutare le conseguenze di questa specifica campagna, siamo preoccupati che il successo di questa operazione porterà gli attori ad attaccare più ampiamente il sistema DNS globale."

Goodin ha notato, nel frattempo, che "Una delle cose che rende Sea Turtle più maturo è l'uso di una costellazione di exploit che consentono collettivamente ai suoi operatori di ottenere l'accesso iniziale o di spostarsi lateralmente all'interno della rete di un'organizzazione mirata".

Cosa ha raccomandato Talos come strategia di mitigazione?

Talos ha suggerito di utilizzare un servizio di blocco del registro, per richiedere un messaggio fuori banda prima che possano verificarsi modifiche al record DNS di un'organizzazione.

Se il tuo registrar non offre un servizio di blocco del registro, Talos consiglia l'autenticazione a più fattori, per esempio., DUO, per accedere ai record DNS dell'organizzazione.

"Se sospetti di essere stato preso di mira da questo tipo di intrusione di attività, si consiglia di istituire una reimpostazione della password a livello di rete, preferibilmente da un computer su una rete affidabile. Infine, si consiglia di applicare patch, soprattutto su macchine con connessione a Internet. Gli amministratori di rete possono monitorare i record DNS passivi sui loro domini, per verificare la presenza di anomalie".

© 2019 Scienza X Rete