I ricercatori della Talos Cybersecurity Unit di Cisco hanno scoperto un nuovo gruppo di hacker che da oltre due anni attaccano 40 colossi del governo, dell'intelligence, delle telecomunicazioni e dei servizi Internet in 13 paesi. Questa nuova campagna, tuttavia, ha alcune somiglianze con DNSpionage, che reindirizza gli utenti a siti Web legittimi. Per consentire loro di rubare le tue password, i ricercatori hanno valutato con grande sicurezza che la campagna "Sea Turtle" era una nuova operazione separata. Sea Turtle prende di mira le aziende dirottando il loro DNS puntando il nome di dominio di un target a reti dannose. La tecnica di spoofing utilizzata dagli hacker dietro la campagna sfrutta vulnerabilità DNS di lunga data che possono essere utilizzate per indurre vittime ignare ad imputare le loro informazioni sull'identità a pagine di accesso false. Sea Turtles Sea Attacks Le tartarughe agiscono prima ingaggiando un bersaglio usando l'arpione per stabilire un piede nella loro tela. Le vulnerabilità note vengono utilizzate per indirizzare server e router in modo che si spostino lateralmente all'interno della rete aziendale per ottenere password specifiche della rete. Queste informazioni di identificazione vengono utilizzate per puntare al desk di registrazione DNS di un'organizzazione durante l'aggiornamento dei record in modo che il nome di dominio punti al proprio indirizzo IP ea un server. Controllato dai pirati. Gli hacker utilizzano quindi un'operazione di intercettazione per prendere in prestito l'identità delle pagine di accesso e ottenere credenziali aggiuntive per spostarla nella rete di un'azienda. Utilizzando il proprio certificato HTTPS per il dominio di destinazione, gli aggressori possono dare l'impressione di autenticità a un server dannoso. Secondo Talos, gli hacker hanno utilizzato questa tecnica per compromettere il provider DNS svedese Netnod, nonché uno dei 13 root server che alimentano il server globale. Infrastruttura DNS. Gli hacker sono stati anche in grado di accedere all'ufficio del registro che gestisce i domini di primo livello dell'Armenia utilizzando una tattica simile. Sebbene Talos non abbia rivelato quale stato si nasconde dietro il gruppo, i suoi ricercatori affermano che la tartaruga è "altamente capace". ha fornito istruzioni di mitigazione in un post sul blog, affermando "Talos suggerisce di utilizzare un servizio di blocco del registro, che richiederà un messaggio fuori banda prima che possano essere apportate modifiche". Record DNS di un'azienda. Se il tuo registrar non offre un servizio di blocco del registro, ti consigliamo di implementare l'autenticazione a più fattori, come DUO, per accedere ai record DNS della tua azienda. Se ritieni di essere stato sottoposto a questo tipo di attività di intrusione, ti consigliamo di impostare una reimpostazione della password su scala di rete, preferibilmente dall'interno della rete. un computer su una rete approvata Infine, ti consigliamo di applicare le patch, soprattutto ai computer collegati a Internet. Gli amministratori di rete possono monitorare i record DNS passivi nei loro domini per rilevare eventuali anomalie.