Noll
För OSS it-företaget FireEye har upptäckt ett mycket sofistikerat hacka kampanj under vilken en misstänkt Iranska gruppen omdirigeras trafiken från företag i hela världen genom sina egna skadliga servrar, skivbolag referenser för framtida attacker.
Berörda organisationer inkluderar telekommunikationer, Isp, internet leverantörer av infrastruktur, statliga och känsliga kommersiella enheter i hela Mellanöstern, nordafrika, Europa och Nordamerika.
FireEye analytiker tror att en Iransk-baserad grupp som ligger bakom attackerna, men det är inget definitivt bevis för exakt attribution ännu.
Forskarna sade enheter som berörs av den grupp som inte har något ekonomiskt värde, men de skulle vara av intresse för den Iranska regeringen.
Analytiker sade också att de fann att några av offren, ” infrastruktur skulle nås under dessa attacker av Iranska IP-adresser som har varit tidigare observerade medan FireEye har svarat på andra attacker-som var hänföras till Iranian cyber-spionage aktör i det förflutna.
I en teknisk rapport som släpptes i dag, FireEye ger en inblick i dessa attacker, som har pågått sedan åtminstone januari 2017.
Den FireEye analytiker bakom denna rapport beskrivs omfattningen och konsekvenserna av denna kampanj på Twitter som “enorm.”
Angriparna inte bara spear-phishing offer för att samla in e-referenser, som de flesta cyber-spionage grupper tenderar att göra, utan istället ändrade DNS-poster för företagets IT-resurser för att omforma internet-trafik inom organisationer och kapa de delar som de ville.
FireEye säger att det identifierats tre olika tekniker som används för dessa attacker, var lika komplexa som nästa:
Teknik 1: Angripare ändra DNS-posterna för offrets e-postserver för att omdirigera den till sin egen e-post server. Angripare använder också Låt oss Kryptera intyg till stöd för HTTPS-trafik, och en lastbalanserare för att styra offer tillbaka till det verkliga e-servern efter att de har samlat inloggningsuppgifter från offer på deras skugga server.
Bild: FireEye
Teknik 2: Samma som den första, men skillnaden är där företagets legitima DNS-poster att ändras. I den första tekniken, anfallare förändrats EN DNS-poster via ett konto på en managed DNS-leverantör, medan det i denna teknik angripare ändrade DNS-NS-poster via en TLD (domän-namn) för provider konto.
Bild: FireEye
Teknik 3: Ibland också användas som en del av de första två tekniker. Det här förlitar sig på att distribuera en “angripare verksamhet låda” som svar på DNS-förfrågningar för kapade DNS-post. Om DNS-förfrågan (för ett företags e-postserver) kommer inifrån företaget, omdirigeras användaren till en skadlig server som drivs av anfallare, men om begäran kommer från utanför bolaget, på begäran riktad till den verkliga e-post server.
Bild: FireEye
Alla dessa attacker lita på angripare möjlighet att ändra ett företags DNS-poster, där mycket få personer inom ett företag kan göra.
Detta kräver ofta tillgång till konton på domänregistreringsföretag, företag som tillhandahåller hanteras av DNS-tjänster, eller på interna DNS-servrar, ett företag kan vara igång.
“Medan den exakta mekanismen genom vilken de DNS-poster som har ändrats är okänd, vi tror att åtminstone vissa poster har ändrats genom att äventyra offrets domänregistreringsföretag konto” FireEye sade, att klargöra att dess utredning av detta globala hackar-kampanj är fortfarande mycket som pågår.
Den AMERIKANSKA cyber-bevakningsföretag påpekade också att denna typ av attack är mycket svårt att försvara sig mot eftersom attacker är inte att komma åt företagets interna nätverk i de flesta fall, och kommer sannolikt inte att utlösa larm med lokala säkerhetsprogram.
De första stegen för att kämpa mot detta angrepp, som FireEye rekommenderar, är att möjliggöra för två-faktor autentisering för DNS och TLD ledningen, och sedan ställa in varningar för eventuella ändringar i DNS-eller NS-poster förändringar.
Mer it nyheter:
Telefonen bedragare stjäl miljarder varje år genom ett system som kallas IRSFG Suite-uppdatering som varnar dig när någon är exporterande företagets data
Ansiktsigenkänning fungerar inte som tänkt på 42 110 testade smartphonesNew verktyg som automatiserar phishing-attacker för att kringgå 2FA
Tyska polisen ber router ägare för att hjälpa till att identifiera ett bombplan MAC addressMost hem routrar inte dra nytta av Linux förbättrade funktioner säkerhet
Google nu kan du skänka pengar till välgörenhet via Play Butik CNETPhishing och spearphishing: En lathund för affärsmän TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0