Нахождение новой, изощренной команды хакеров, шпионящих за десятками правительственных целей, никогда не бывает хорошей новостью. Но одна команда кибершпионов сняла провернула все с помощью редкого и тревожного трюка , используя слабое звено в кибербезопасности интернета, о котором эксперты предупреждали в течение многих лет: захват DNS, техника которая внедряется в фундаментальную адресную книгу интернета.
Исследователи в отделе безопасности Cisco Talos в среду показали, что хакерская группа it's calling Sea Turtle провела широкую кампанию шпионажа через DNS-захват, поразив 40 различных организаций. В процессе они зашли так далеко, что скомпрометировали несколько доменов верхнего уровня кода такие как .co.uk or .ru, которые заканчивают иностранный веб-адрес-подвергая риску весь трафик каждого домена в нескольких странах.
Среди жертв хакеров-телекоммуникационные компании, интернет-провайдеры и регистраторы доменов, ответственные за внедрение системы доменных имен. Но большинство жертв и конечных целей, по мнению Cisco, были коллекцией в основном правительственных организаций, включая министерства иностранных дел, разведывательные агентства, военные цели и связанные с энергетикой, все базирующиеся на Ближнем Востоке и в Северной Африке. Взламывая систему каталогов интернета, хакеры смогли тихо использовать атаки " man in the middle" для перехвата всех интернет-данных от электронной почты до веб-трафика, отправляемого этим организациям-жертвам.
DNS угон нацелен на систему доменных имен, столп архитектуры Интернета, который переводит доменное имя, которое вы вводите в браузер, например "google.com," В IP-адрес, представляющий фактический компьютер, на котором размещена эта служба, например "64.233.191.255."Коррумпируйте эту систему, и хакеры могут перенаправить этот домен на любой IP-адрес, который они выберут. Исследователь Cisco Talos Крейг Уильямс говорит, что кампания Sea Turtle вызывает беспокойство не только потому, что она представляет собой серию наглых кибершпионажных операций, но и потому, что она ставит под сомнение эту базовую модель доверия в интернете.
"Когда вы находитесь на своем компьютере и посещаете свой банк, вы предполагаете, что DNS-серверы скажут вам правду", - говорит Уильямс. "К сожалению, мы видим, что с региональной точки зрения кто-то нарушил это доверие. Вы заходите на сайт, и оказывается, что у вас нет никакой гарантии того, с кем вы разговариваете."
Cisco Talos заявила, что не может определить национальность хакеров Sea Turtle, и отказалась назвать конкретные цели их шпионских операций. Однако в нем содержался список стран, в которых находились жертвы: Албания, Армения, Кипр, Египет, Ирак, Иордания, Ливан, Ливия, Сирия, Турция и Объединенные Арабские Эмираты. Это подтвердил представитель Cisco Крейг Уильямс .домен верхнего уровня am был одним из" горстки", которые были скомпрометированы, но не сказал бы, какие из доменов верхнего уровня других стран были аналогичным образом захвачены.
Одним из решений эпидемии DNS-взлома для организаций является реализация "блокировки реестра", меры безопасности которая требует от регистратора предпринять дополнительные шаги проверки подлинности и связаться с клиентом, прежде чем параметры домена клиента могут быть изменены. Министерство внутренней безопасности США зашло так далеко, что выпустило предупреждение американским сетевым администраторам, чтобы проверить параметры аутентификации своего регистратора домена в январе, в ответ на выводы DNSpionage от Cisco и FireEye.
Но Уильямс говорит, что многие доменные регистраторы высшего уровня страны по-прежнему не предлагают блокировки реестра, оставляя клиентов в состоянии неопределенности. "Если вы находитесь в этих странах, как вы верите, что ваша система DNS снова работает?- он спрашивает.
Все это означает, что DNS скорее всего будет расти , говорит Уильямс.