SOS :: Security Operation Space
22 марта, пятница, 00:00
|
Hot News:

Хакеры два года взламывали DNS-сервера и похищали данные

11 января 2019 г., пятница, 14:19

Злоумышленники брали под контроль почтовый трафик государственных и частных организаций с целью кражи паролей.

Специалисты FireEye обнаружили масштабную кампанию, нацеленную на кражу учетных данных сотрудников государственных и коммерческих организаций по всему миру. Злоумышленники перехватывали запросы DNS, чтобы анализировать трафик жертвы и собирать логины, пароли и другую информацию. Атаки, которые трудно обнаружить при помощи сканеров безопасности, впервые были зафиксированы в январе 2017-го и продолжаются по сей день.

По мнению аналитиков, киберпреступники используют три основные тактики взлома. В первом случае нападающие изменяют DNS-запись почтового сервера компании-жертвы, чтобы перенаправлять трафик на свои ресурсы. Для этой цели злоумышленники авторизуются в панели управления регистратора или хостинг-провайдера организации и корректируют А-запись, отвечающую за контроль почтового трафика. Специалисты FireEye считают, что учетные данные для доступа к веб-интерфейсу администратора домена мошенники получают через украденные ранее логин и пароль.

Сразу после перехвата учетных данных криминальный сервер автоматически переадресует запрос пользователя назад к легитимной почтовой платформе, а жертва продолжает работать с электронными сообщениями, не подозревая, что ее аккаунт скомпрометирован. Злоумышленники используют бесплатные HTTPS-сертификаты Let’s Encrypt для обхода файрволлов и систем безопасности. Локальные антивирусные сканеры также не определяют такую сетевую активность как криминальную.

Второй метод предполагает подмену NS-записи жертвы, что приводит к перехвату всего трафика, адресованного целевому домену. Как и в первом случае, злоумышленники возвращают запросы обратно на легитимный сервер и применяют защищенное соединение для маскировки вредоносной активности. Такая атака не требует доступа к панели администратора DNS, но предполагает взлом сайта регистратора доменных имен или координатора национального домена.

В ряде случаев мошенники применяли отдельную службу DNS-переадресации, которая обрабатывала все запросы сервера жертвы, взломанного одним из двух предыдущих методов. Если пользователь обращался к почтовому серверу, происходил перехват учетной информации, в противном случае трафик передавался для обработки легитимному сервису управления доменом.

Исследователи затрудняются идентифицировать хакерскую группу, стоящую за этими атаками, однако отмечают ряд косвенных признаков, указывающих, что киберпреступники действуют в интересах правительства Ирана.

Взлом DNS-серверов на уровне регистратора домена или хостинг-провайдера — относительно редкое явление, поскольку в этом случае злоумышленникам приходится обходить системы защиты профессионального уровня.

В июле прошлого года ИБ-специалисты обнаружили, что сервер индонезийского провайдера в течение 30 минут перенаправлял запросы, адресованные американским финансовым сервисам, на компьютеры киберпреступников. Продолжительность последующих атак достигла нескольких часов, а число скомпрометированных операторов связи пополнил малайзийский сервис Extreme Broadband.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:31
16:24
16:15
14:19
13:15
13:15
11:15
09:15
08:15
08:15
08:15
07:15
06:15
05:22
15:26
15:17
15:15
15:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.230
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.