Nul
OS cybersecurity firma FireEye har afdækket en yderst sofistikeret hacking-kampagne, hvor en mistænkt Iranske gruppe omdirigeret trafik fra virksomheder over hele verden gennem deres egne ondsindede servere, optagelse selskab legitimationsoplysninger for fremtidige angreb.
Berørte organisationer omfatter telekommunikation, Isp, internet udbydere af infrastruktur, regering og følsomme kommercielle enheder i hele Mellemøsten, Nordafrika, Europa og Nordamerika.
FireEye analytikere mener, en Iransk-baseret gruppe, der står bag de angreb, selv om der er noget endeligt bevis for præcis tildeling endnu.
Forskere siger, at de enheder, der er målrettet den gruppe, der ikke har nogen økonomisk værdi, men de vil være af interesse for den Iranske regering.
Analytikere sagde også, at de fandt, at nogle af ofrene’ infrastruktur var adgang til i løbet af disse angreb Iranske IP-adresser, der tidligere er blevet observeret, mens FireEye har reageret på andre angreb-hvilket blev tilskrevet Iranske cyber-spionage skuespiller i fortiden.
I en teknisk rapport udgivet i dag, FireEye giver et indblik i disse angreb, som har fundet sted i hvert fald siden januar 2017.
Den FireEye analytikere bag denne rapport beskrives omfanget og virkningen af denne kampagne på Twitter som “stort.”
Angribere ikke bare spear-phishing ofre til at indsamle e-mail-legitimationsoplysninger, ligesom de fleste andre cyber-spionage grupper har en tendens til at gøre, men i stedet ændrede DNS-poster for virksomhedens IT-ressourcer til at omforme internet trafik i organisationer og kapre de dele, de ønskede.
FireEye siger, at det, der er identificeret tre forskellige teknikker, der anvendes til disse angreb, hver lige så kompleks som den næste:
Teknik 1: Angribere, ændre DNS-registreringer for offeret ‘ s mail-server for at omdirigere den til deres egen e-mail server. Angribere også bruge Lad os Kryptere certifikater til at understøtte HTTPS-trafik, og en load balancer til at omdirigere ofre tilbage til den rigtige e-mail-serveren, efter at de har samlet login fra ofre på deres skygge server.
Billede: FireEye
Teknik 2: Samme som den første, men forskellen er, hvor virksomhedens legitime DNS-registreringer, der er ved at blive ændret. I den første teknik, angribere ændret DNS A-records via en konto hos en administreret DNS-udbyder, mens der i denne teknik angribere ændret DNS NS records via et TLD (domænenavn) udbyder-konto.
Billede: FireEye
Teknik 3: nogle gange også indsat som en del af de to første teknikker. Dette beror på at indsætte en “hacker operationer box”, der svarer til DNS-anmodninger for kapret DNS record. Hvis DNS-forespørgsel (til virksomhedens mail server) kommer inde fra virksomheden, brugeren er omdirigeret til en ondsindet server, der drives af angribere, men hvis anmodningen kommer fra lande uden for virksomheden, anmodningen er rettet til den rigtige e-mail-server.
Billede: FireEye
Alle disse angreb stole på angriberne’ evne til at ændre en virksomheds DNS-registreringer, som meget få mennesker inde i en virksomhed kan gøre.
Dette kræver ofte adgang til konti på domæne registratorer, firmaer, som levere managed DNS-tjenester, eller på interne DNS-servere, en virksomhed kan køre.
“Mens den præcise mekanisme, som DNS-registreringer blev ændret er ukendt, mener vi, at i det mindste nogle poster der blev ændret ved at gå på kompromis et offer domæne registrator konto,” FireEye sagde, at præcisere, at undersøgelsen i denne globale hacking-kampagne er stadig meget i gang.
Den AMERIKANSKE it-sikkerhedsfirma påpegede også, at denne type angreb er meget svære at forsvare sig imod, fordi angriberne ikke få adgang til virksomhedens interne netværk, i de fleste tilfælde, og er ikke tilbøjelige til at udløse alarmer med lokale sikkerheds-software.
De første skridt til at kæmpe mod dette angreb, som FireEye anbefaler, er at sætte to-faktor-autentificering for DNS og TLD-management-konti, og derefter indstille advarsler for eventuelle ændringer i DNS på EN eller NS-records ændringer.
Mere cybersecurity nyheder:
Telefon-svindlere at stjæle milliarder hvert år gennem en ordning, der er kendt som IRSFG Suite-opdatering advarer dig, når nogen er eksport af din virksomheds data
Facial anerkendelse virker ikke efter hensigten på 42 af 110 testet smartphonesNew værktøj automatiserer phishing-angreb, at bypass-2FA
Tysk politi vil bede router ejere for hjælp til at identificere et bombefly MAC addressMost hjemme-routere ikke drage fordel af Linux ‘ s forbedrede sikkerhedsfunktioner
Google nu giver dig mulighed for at donere til velgørenhed via Play Butik CNETPhishing og spearphishing: Et cheat sheet for professionelle, TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0