Um grupo de hackers perseguiu domínios governamentais - eles visaram 40 agências governamentais e de inteligência, gigantes das telecomunicações e da Internet em 13 países há mais de dois anos, disse relatórios. Este é um novo, equipe sofisticada de hackers espionando dezenas de alvos, disse Com fio .

"Este é um novo grupo que está operando de uma forma relativamente única que não vimos antes, usando novas táticas, técnicas, e procedimentos, "Craig Williams, diretor, divulgação no Cisco Talos, contado TechCrunch .

Os pesquisadores identificaram a campanha e a apelidaram de "tartaruga marinha". Eles estão na unidade de segurança cibernética Talos da Cisco. Zack Whittaker, editor de segurança em TechCrunch , expandiu as descobertas:a unidade "soou o alarme após descobrir um grupo de hackers anteriormente desconhecido visando uma parte central da infraestrutura da Internet."

Como funciona o Sea Turtle:tem como alvo empresas sequestrando seu DNS - apontando o nome de domínio de um alvo para um servidor malicioso em vez de para o alvo pretendido, disse Anthony Spadafora, TechRadar.

Ars Technica expandido na explicação do que acontece:

Dan Goodin escreveu, "os invasores primeiro alteram as configurações de DNS para registradores DNS direcionados, empresas de telecomunicações, e ISPs - empresas como Cafax e Netnod. Os invasores então usam seu controle desses serviços para atacar os alvos principais que usam os serviços. "

Na realidade, a exploração estava aproveitando algumas falhas há muito conhecidas no DNS, disse Spadafora, e essas falhas podem ser usadas "para enganar vítimas desavisadas, levando-as a imputar suas credenciais em páginas de login falsas".

Ele disse que "ao usar seu próprio certificado HTTPS para o domínio do alvo, os invasores podem fazer um servidor malicioso parecer genuíno. "

De acordo com Talos, os hackers comprometeram o provedor sueco de DNS Netnod. A equipe do Talos postou que "Em outro caso, os invasores foram capazes de comprometer o NetNod, uma organização sem fins lucrativos, organização independente de infraestrutura de Internet com sede na Suécia. " Ars Technica disse que Netnod também é o operador de i.root, um dos 13 servidores raiz DNS básicos da Internet.

De acordo com Talos, os hackers usaram essa técnica para comprometer o provedor sueco de DNS Netnod, bem como um dos 13 servidores raiz que alimentam a infraestrutura DNS global.

Este era um grupo de hackers "altamente avançado", e "provavelmente" apoiado por um estado-nação.

A equipe do Talos postou um blog em 17 de abril com uma nota de preocupação com o que pode vir:

"Embora este incidente se limite a visar principalmente organizações de segurança nacional no Oriente Médio e Norte da África, e não queremos exagerar as consequências desta campanha específica, estamos preocupados com o fato de que o sucesso dessa operação levará os atores a atacar de forma mais ampla o sistema DNS global. "

Goodin notou, Enquanto isso, que "Uma das coisas que torna o Sea Turtle mais maduro é o uso de uma constelação de exploits que permitem coletivamente aos seus operadores obter acesso inicial ou mover-se lateralmente dentro da rede de uma organização visada."

O que o Talos recomendou como estratégia de mitigação?

Talos sugeriu usar um serviço de bloqueio de registro, para exigir uma mensagem fora de banda antes que qualquer alteração possa ocorrer no registro DNS de uma organização.

Caso seu registrador não ofereça um serviço de bloqueio de registro, Talos recomendou autenticação multifator, por exemplo., DUO, para acessar os registros DNS da organização.

"Se você suspeita que foi alvo desse tipo de invasão de atividade, recomendamos instituir uma redefinição de senha em toda a rede, de preferência de um computador em uma rede confiável. Por último, recomendamos a aplicação de patches, especialmente em máquinas voltadas para a Internet. Os administradores de rede podem monitorar o registro DNS passivo em seus domínios, para verificar se há anormalidades. "

© 2019 Science X Network