Игра киберпрестолов IX: США иранцев обвиняют, а те только крепчают, и по всему миру DNS угоняют

Опубликовано at 15:18
177 0

Специалисты по кибербезопасности из компании FireEye обнаружили колоссального размаха сеть атак на компании по всему миру – предположительно за ними стоят неназванные иранские хакеры. Тут важна следующая деталь: эти хакеры вообще не используют фишинг, а вместо этого действуют наверняка, изменяя записи DNS почтовых серверов жертв.

Таким образом, хакеры переправляют трафик компаний по всему миру через свои серверы, на которых записываются корпоративные учетные данные для дальнейших уже прямых атак. FireEye сообщают, что большой разборчивостью хакеры не отличаются: среди их жертв и телекоммуникационные компании, интернет-провайдеры, государственные учреждения и коммерческие организации в странах Среднего Востока, Северной Африки, Европы и Северной Америки. Есть мнение, что таким образом просто обкатывают пока новую технологию, а реальные преступления будут потом.

У FireEye нет прямых доказательств иранского участия, кроме утверждения, что «атакуемые цели явно интересны иранскому правительству», и одного-единственного засеченного иранского IP-адреса, уже знакомому FireEye по предыдущим атакам, связанным с иранскими кибершпионами (разумеется не факт, что адрес настоящий).

Эта волна кибератак продолжается, по словам FireEye, как минимум с января 2017 года. Для взлома DNS, хакеры используют три различные техники: две первые состоят в том, что злоумышленники изменяют записи DNS почтового сервера атакуемой организации, либо DNS A через учетную запись управляемого провайдера DNS, либо записи DNS NS через учетную запись провайдера доменного имени.

Третья зафиксированная экспертами техника требует развертывания «операционного окна атакующего», отвечающего на DNS-запросы для взломанных DNS-записей. Таким образом, если адресованный почтовому серверу компании DNS-запрос был отправлен из источника внутри корпоративной сети, пользователи перенаправлялись на подконтрольный злоумышленникам сервер. Если запросы отправлялись за пределами корпоративной сети, отправлялись сразу на настоящий почтовый сервер компании.

АКБ напоминает, что в конце ноября Минюст США предъявил официальные обвинения двум хакерам из Ирана, создавших крайне успешный вирус-шифровальщик SamSam. Фарамарз Шахи Саванди и Мохаммад Мехди Шах Мансури успешно парализовали работу целых городов, что, по мнению прокурора, является беспрецедентным ранее «посягательством» на сам американский образ жизни.

Всего, по данным обвинения, Саванди и Мансури провели кибератаки в 43 штатах Америки, но при этом не разглашает, сколько человек пострадало в результате. Жертвами вредоноса стали порядка 200 организаций, включая больницы, городские администрации и государственные учреждения, а ущерб от него превышает $30 млн.

В предыдущих сериях на АКБ:

Игра киберпрестолов: США готовятся к войне хакеров с Ираном

Игра киберпрестолов II: Евгений Лифшиц об иранских хакерах, придуманных и настоящих

Игра киберпрестолов III: США обвинили иранских хакеров в гоп-стопе 43 штатов

Игра киберпрестолов IV: Charming Kitten ломают Минфин США за санкции против Ирана

Игра киберпрестолов V: китайцы атакуют ВМС США и украли чертежи секретной ракеты

Игра киберпрестолов VI: китайцы три года читали почту дипломатов ЕС

Игра киберпрестолов VII: китайцы атакуют германские предприятия через провайдеров

Игра киберпрестолов VIII: США предъявило официальные обвинения китайским хакерам Red Panda

Подписываемся, следим @CyberAgency

Related Post

Добавить комментарий