Zero
NOI cybersecurity azienda FireEye ha scoperto una sofisticata hacking campagna durante la quale un sospetto Iraniano gruppo reindirizzato il traffico da aziende di tutto il mondo attraverso i loro server malevoli, società di registrazione le credenziali per futuri attacchi.
Interessato organizzazioni che sono in telecomunicazioni, Isp, internet fornitori di infrastrutture, di governo e di sensibile entità commerciali in tutto il Medio Oriente, Nord Africa, Europa e Nord America.
FireEye gli analisti credono che un Iraniano-il gruppo è dietro gli attacchi, anche se non vi è alcuna prova definitiva per l’esatta attribuzione.
I ricercatori hanno detto che le entità interessate dal gruppo hanno nessun valore finanziario, ma potrebbe essere di interesse per il governo Iraniano.
Analisti anche detto che hanno trovato che alcune delle vittime, le infrastrutture sono stati consultati durante questi attacchi Iraniani indirizzi IP che sono stati osservati in precedenza mentre FireEye ha risposto ad altri attacchi –che sono stati attribuiti al Iranian cyber-spionaggio attore in passato.
In un rapporto tecnico pubblicato oggi, FireEye, fornisce uno spaccato questi attacchi, che sono stati accadendo, almeno dal gennaio 2017.
La FireEye analisti dietro questa relazione descrive la portata e l’impatto di questa campagna su Twitter come “enorme.”
Gli aggressori non solo spear-phishing vittime di raccogliere e-mail credenziali, come la maggior parte di cyber-spionaggio gruppi tendono a fare, ma invece modificati i record DNS per azienda risorse per rimodellare il traffico internet all’interno delle organizzazioni e dirottare le parti hanno voluto.
FireEye dice identificate tre diverse tecniche utilizzate per questi attacchi, appena come complessa è la seguente:
Tecnica 1: gli Aggressori di modificare i record DNS per il server di posta della vittima per reindirizzare al proprio server di posta elettronica. Attaccanti anche utilizzare Let’s Encrypt certificati per supportare il traffico HTTPS, e un sistema di bilanciamento del carico per reindirizzare le vittime per tornare al vero server di posta elettronica dopo aver raccolto le credenziali di accesso da parte delle vittime sui loro server shadow.
Immagine: FireEye
Tecnica 2: Stesso come il primo, ma la differenza è dove legittimi della società record DNS modificati. Nella prima tecnica, gli aggressori hanno cambiato DNS UN record tramite un conto corrente presso un managed DNS del provider, mentre in questa tecnica attaccanti cambiato DNS record NS per via di un TLD (nome di dominio) un account di un provider.
Immagine: FireEye
Tecnica 3: a Volte anche distribuito come parte delle prime due tecniche. Questo si basa sulla distribuzione di un “attaccante operazioni” che risponde alle richieste DNS per il dirottato record DNS. Se la richiesta DNS (per una società del server di posta) viene da dentro l’azienda, l’utente viene reindirizzato al server dannoso gestito dagli attaccanti, ma se la richiesta proviene dall’esterno dell’azienda, la richiesta è rivolta al vero server di posta elettronica.
Immagine: FireEye
Tutti questi attacchi si basano sugli attaccanti, di capacità di trasformazione della società record DNS, che poche persone all’interno di un’azienda può fare.
Questo spesso richiede l’accesso all’account di dominio registrar, la società che fornisce gestito servizi di DNS, o su server DNS interni, una società potrebbe essere in esecuzione.
“Mentre il meccanismo preciso con cui i record DNS sono stati modificati è sconosciuto, crediamo che almeno alcuni record sono stati modificati con il sacrificio di una vittima di dominio registrar conto,” FireEye ha detto, chiarendo che la sua indagine globale di hacking campagna è ancora in corso.
USA cyber-sicurezza ditta ha anche sottolineato che questo tipo di attacco è molto difficile difendere contro, perché gli attaccanti non sono l’accesso a rete interna di una società nella maggior parte dei casi, e non sono suscettibili di attivare allarmi locali con i software di sicurezza.
I primi passi per lottare contro questo tipo di attacchi, come FireEye consiglia, è quello di attivare l’autenticazione a due fattori per il DNS e TLD conti di gestione, e quindi impostare gli avvisi per eventuali variazioni di DNS o i record NS modifiche.
Più sicurezza informatica notizie:
Telefono truffatori rubano miliardi ogni anno attraverso un programma noto come IRSFG aggiornamento della Suite avverte quando qualcuno sta esportando i dati della tua azienda
Il riconoscimento facciale non funziona come previsto, 42 di 110 testato smartphonesNew strumento consente di automatizzare gli attacchi di phishing che ignorano 2FA
La polizia tedesca chiedere router proprietari per aiutare nell’identificazione di un bomber MAC addressMost router di casa non approfittano di Linux funzionalità di sicurezza avanzate
Google now permette di donare in beneficenza tramite il Play Store CNETPhishing e di spear-phishing: Un cheat sheet per i professionisti TechRepublic
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0