Nul
ONS cybersecurity bedrijf FireEye heeft ontdekt op een zeer geraffineerde hacken campagne waarin een vermeende Iraanse groep omgeleid verkeer van bedrijven over hun wereld, via hun eigen kwaadaardige servers, recording company referenties voor toekomstige aanvallen.
Betrokken organisaties zijn onder meer telecom, Isp ‘ s, internet-infrastructuur providers, de overheid en het gevoelige commerciële ondernemingen in het Midden-Oosten, Noord-Afrika, Europa en Noord-Amerika.
FireEye analisten geloven dat een Iraanse groep is achter de aanslagen, hoewel er geen definitief bewijs voor de exacte naamsvermelding gewoon nog niet.
Onderzoekers zeiden dat de entiteiten waarvoor de groep geen financiële waarde, maar ze zou van belang zijn voor de Iraanse overheid.
Analisten zei ook dat ze vonden dat sommige van de slachtoffers van de infrastructuur werden benaderd tijdens deze aanvallen door de Iraanse IP-adressen die eerder zijn waargenomen terwijl het FireEye gereageerd op andere aanvallen –die werden toegeschreven aan de Iraanse cyber-spionage-acteur in het verleden.
In een technisch rapport dat vandaag werd vrijgegeven, FireEye biedt een inzicht in deze aanvallen, die zijn gebeurd sinds ten minste januari 2017.
Het FireEye analisten achter in dit rapport beschreven de reikwijdte en het effect van deze campagne op Twitter als “groot.”
Aanvallers niet alleen spear-phishing slachtoffers te verzamelen van e-mail referenties, zoals de meeste cyber-spionage groepen hebben de neiging om te doen, maar in plaats daarvan gewijzigde DNS-records voor IT hulpbronnen van de onderneming te hervormen internet verkeer binnen organisaties en kapen van de onderdelen die ze wilde.
FireEye zegt dat die drie verschillende technieken gebruikt voor deze aanvallen, elk net zo complex als de volgende:
Techniek 1: Aanvallers van DNS-records voor slachtoffer e-mail doorsturen naar hun eigen e-mail server. Aanvallers gebruiken ook Laten we het Coderen van certificaten voor ondersteuning van HTTPS-verkeer, en een load balancer te redirect slachtoffers terug naar de echte e-mailserver nadat u ze hebt verzameld inloggegevens van slachtoffers over hun schaduw server.
Afbeelding: FireEye
Techniek 2: Hetzelfde als de eerste, maar het verschil is de plaats waar de vennootschap legitieme DNS-records worden gewijzigd. In de eerste techniek, de aanvallers gewijzigde DNS-records via een rekening bij een managed DNS-provider, terwijl in deze techniek aanvallers veranderd NS DNS-records via een TLD (domeinnaam) provider account.
Afbeelding: FireEye
Techniek 3: Soms ook ingezet als onderdeel van de eerste twee technieken. Dit is gebaseerd op de implementatie van een “hacker activiteiten vak” die beantwoordt aan DNS requests voor de gekaapte DNS-record. Als de DNS-verzoek (voor een bedrijf met de e-mailserver) afkomstig is van binnen de onderneming, wordt de gebruiker omgeleid naar de kwaadaardige server wordt beheerd door aanvallers, maar als het verzoek komt van buiten het bedrijf, wordt de aanvraag doorgestuurd naar de echte e-mailserver.
Afbeelding: FireEye
Al deze aanvallen vertrouwen op de aanvallers’ het vermogen om te veranderen een bedrijf de DNS-records, waarin heel weinig mensen binnen een bedrijf kan doen.
Dit vraagt vaak om toegang tot accounts in het domein registrars, bedrijven die worden beheerd door DNS-services, of op interne DNS-servers van een bedrijf kunnen worden uitgevoerd.
“Hoewel het precieze mechanisme waardoor de DNS-records zijn gewijzigd, is onbekend, we geloven dat ten minste sommige records zijn gewijzigd door het compromitteren van een slachtoffer domein registrar account” FireEye zei, verduidelijkt dat haar onderzoek in deze wereldwijde hacken campagne is nog steeds heel veel aan de gang.
De AMERIKAANSE cyber-security bedrijf ook op gewezen dat dit type aanval is zeer moeilijk te verdedigen tegen omdat de aanvallers geen toegang tot de interne netwerk in de meeste gevallen, en zal waarschijnlijk niet leiden tot alarm met local security software.
De eerste stappen om te vechten tegen deze aanvallen, zoals FireEye adviseert, is om twee-factor authenticatie voor DNS en TLD management accounts, en dan waarschuwingen instellen voor alle wijzigingen aan EEN DNS-of NS-records van wijzigingen.
Meer cybersecurity nieuws:
Telefoon oplichters zijn het stelen van miljarden elk jaar via een regeling die bekend staat als IRSFG Suite update waarschuwt u wanneer iemand het exporteren van de gegevens van uw bedrijf
Gezichtsherkenning werkt niet zoals de bedoeling is op 42 van 110 getest smartphonesNew hulpprogramma automatiseert phishing-aanvallen die bypass 2FA
De duitse politie vraagt router eigenaren voor hulp bij het identificeren van een bommenwerper MAC addressMost thuis routers geen gebruik maken van het Linux verbeterde beveiligingsfuncties
Google nu kunt u doneren aan goede doelen via de Play Store CNETPhishing en spearphishing: Een cheat sheet for business professionals TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0