28 Φεβρουαρίου 2020

ΕΡΕΥΝΑ: Αυτοί υποκινούν τις Sea Turtle hacking επιθέσεις. Κυβερνοπόλεμος σε εξέλιξη;

SEA TURTLE hacking επιθέσεις: Κυβερνοπόλεμος σε εξέλιξη με την Τουρκία να κρύβεται πίσω από τη διαδικτυακή τρομοκρατία;

ΣΥΝΟΠΤΙΚΗ ΑΝΑΛΥΣΗ

Η Sea Turtle hacking εκστρατεία ενάντια κυβερνητικών ιστοσελίδων κρατών σε Ευρώπη και Μέση Ανατολή, με την Ελλάδα να αποτελεί έναν από τους βασικούς στόχους, έχει δημιουργήσει παγκόσμια ανησυχία. Το SecNews διεξήγαγε έρευνα σχετικά με την πιθανή ταυτότητα των hackers, τις επιθέσεις και τους κινδύνους που προκύπτουν από αυτές. 

Από το 2017 έχει ξεκινήσει μια hacking εκστρατεία, γνωστή ως Sea Turtle, η οποία εξελίσσεται σε μια επικίνδυνη διαδικτυακή τρομοκρατία που ίσως αποτελεί προάγγελο ενός κυβερνοπολέμου

Οι hackers, αρχικά, επιτίθεντο σε κυβερνητικές οργανώσεις, εταιρείες ενέργειας, δεξαμενές σκέψης (think tanks), διεθνείς κυβερνητικές οργανώσεις, αεροδρόμια και high profile προσωπικότητες της Βόρειας Αφρικής και της Μέσης Ανατολής, ενώ, στη συνέχεια, εξαπλώθηκαν σε Ευρώπη και Αμερική.

Οι πρώτες εικασίες έδειχναν ότι πίσω από την hacking εκστρατεία βρίσκονται Ιρανοί hackers, εφόσον, μάλιστα, φημίζονται για τέτοιου είδους επιθέσεις, με τις πιο πρόσφατες να στοχοποιούν Ευρωπαϊκές εταιρείες ενέργειας. 

Η τράπουλα φαίνεται να αλλάζει φύλλα όσο οι επιθέσεις συνεχίζονται, υποδεικνύοντας την Τουρκική κυβέρνηση πίσω από τις επιθέσεις. 

Η εκστρατεία έχει θορυβήσει αρκετά τους ειδικούς καθώς διαθέτει χαρακτηριστικά γνωρίσματα μιας κυβερνητικά υποκινούμενης κατασκοπείας για την προώθηση τουρκικών συμφερόντων.

SEA TURTLE CAMPAIGN

Ας αναλύσουμε αρχικά την φύση της Sea Turtle εκστρατείας καθώς και τους σκοπούς της. Η Sea Turtle εκστρατεία εντοπίζεται από τον Ιανουάριο του 2018, με βασικούς στόχους δημόσιους και ιδιωτικούς φορείς κρατών. Χαρακτηριστικό γνώρισμα της είναι οι DNS hijacking επιθέσεις. 

Σύμφωνα με, τα μέχρι στιγμής, στοιχεία εντοπίζονται επιθέσεις σε περίπου 40 οργανισμούς σε 13 χώρες.

Οι επιτιθέμενοι είναι εξαιρετικά οργανωμένοι και χρησιμοποιούν εξελιγμένες μεθόδους, οι οποίες τους παρέχουν πρόσβαση σε ευαίσθητα δίκτυα και συστήματα. Η DNS hijacking επίθεση ανακατευθύνει τους χρήστες σε κακόβουλα website, τροποποιώντας τα DNS name records ή τις ρυθμίσεις του server.

Η εκστρατεία φαίνεται να στοχεύει σε δύο κατηγορίες θυμάτων. Στην πρώτη κατηγορία ανήκουν οργανώσεις εθνικής ασφάλειας, υπουργεία εξωτερικών και οργανώσεις που σχετίζονται με την ενέργεια. Στη δεύτερη κατηγορία θυμάτων ανήκουν διαχειριστές DNS, εταιρείες τηλεπικοινωνιών και πάροχοι υπηρεσιών διαδικτύου.

Αξίζει αν σημειώσουμε ότι πρώτος στόχος των επιτιθέμενων είναι οι τρίτες εταιρείες (πάροχοι), που προσφέρουν υπηρεσίες στους βασικούς τους στόχους (third party ή outsource). 

DNS HIJACKING ATTACKS 

Τι είναι το DNS Hijacking; 

DNS hijacking, DNS poisoning ή DNS redirection είναι η πρακτική της υπονόμευσης της ανάλυσης των Domain Name System (DNS) queries. Αυτό μπορεί να επιτευχθεί με κακόβουλο λογισμικό που αντικαθιστά τη διαμόρφωση TCP / IP ενός υπολογιστή, ώστε να δείχνει σε έναν κακόβουλο DNS server που ελέγχεται από έναν hacker ή τροποποιεί τη συμπεριφορά ενός αξιόπιστου DNS server έτσι ώστε να μην συμμορφώνεται με τα πρότυπα διαδικτύου. Φυσικά, οι τροποποιήσεις αυτές πραγματοποιούνται για κακόβουλους σκοπούς.

Η Sea Turtle εκστρατεία πραγματοποιεί αυτές τις τροποποιήσεις για κακόβουλους σκοπούς, όπως μπορούμε να φανταστούμε. Συγκεκριμένα:

Οι επιτιθέμενοι αποκτούν τα credentials του διαχειριστή του δικτύου του εκάστοτε οργανισμού και τροποποιούν τα DNS records.

Διαφορετικά αποκτούν πρόσβαση μέσω DNS διαχειριστή, ο οποίος πουλά ονόματα domain και διαχειρίζεται τα DNS records. Το DNS registry είναι προσβάσιμο μέσω της εφαρμογής μητρώου χρησιμοποιώντας το Extensible Provisioning Protocol (EPP).

Οι hackers αποκτούν ένα από αυτά τα κλειδιά EPP για να τροποποιήσουν τα DNS records, που χειρίζεται ο διαχειριστής.

Οι hackers προσπαθούν να κλέψουν τα credentials, ώστε να μπουν στα δίκτυα και τα συστήματα, με τον εξής τρόπο: 
  • αρχικά προσπαθούν να ελέγξουν τα DNS records του στόχου, 
  • μετά τροποποιούν τα DNS records ώστε να ανακατευθύνουν τους χρήστες σε servers που είναι υπό τον έλεγχο των hackers και οχι στους πραγματικούς servers 
  • και τέλος κλέβουν τα credentials όταν οι χρήστες επικοινωνούν με τον ελεγχόμενο server.
Μέσα από αυτές τις διαδικασίες οι hackers κατάφεραν να αποκτήσουν πρόσβαση στα συστήματα των οργανισμών και να πραγματοποιήσουν επιθέσεις.

Χρήση νέας DNS Hijacking τεχνικής 

Η νέα τεχνική έχει χρησιμοποιηθεί πολύ φειδωλά και μέχρι στιγμής έχουν εντοπίσει μόνο δύο entities από το 2018. 

Στη συγκεκριμένη περίπτωση έγινε τροποποίηση των domain’s name server records για να παραπέμπουν τους νόμιμους χρήστες στον κακόβουλο server. Ο ελεγχόμενος name server και τα hijacked hostnames θα οδηγήσουν στην ίδια διεύθυνση IP για σύντομο χρονικό διάστημα, συνήθως λιγότερο από 24 ώρες. Και στις δύο παρατηρούμενες περιπτώσεις, ένα από τα hijacked hostnames αναφερόταν σε μια υπηρεσία ηλεκτρονικού ταχυδρομείου μέσω της οποίας οι hackers υπέκλεψαν τα διαπιστευτήρια σύνδεσης των θυμάτων. Μία πτυχή αυτής της τεχνικής που καθιστά εξαιρετικά δύσκολη την παρακολούθηση της είναι ότι οι ελεγχόμενοι name servers δεν χρησιμοποιήθηκαν σε πολλαπλούς στόχους – που σημαίνει ότι κάθε hijacked entity είχε το δικό της name server hostname και τη δική του αποκλειστική διεύθυνση IP. Ενώ τα προηγουμένως αναφερθέντα name server domains όπως ns1 [.] Intersecdns [.] Com χρησιμοποιήθηκαν για να στοχεύσουν πολλαπλούς οργανισμούς.

Νέος nameserver ελεγχόμενος από hackers 

rootdnservers[.]com: Παρουσιάζει παρόμοια πρότυπα συμπεριφοράς με τους διακομιστές ονομάτων που είχαν χρησιμοποιηθεί στο παρελθόν ως τμήμα της εκστρατείας Sea Turtle. Το domain rootdnservers [.] Com καταχωρίστηκε στις 5 Απριλίου 2019 μέσω του καταχωρητή NameCheap. To νέο domain rootdnservers [.] Com χρησιμοποιήθηκε για DNS hijacking εναντίον τριών κυβερνητικών φορέων που όλοι χρησιμοποιούσαν το .gr, το ελληνικό ccTLD. Πολύ πιθανό τα hijackings να πραγματοποιήθηκαν μέσω της πρόσβασης που αποκτήθηκε στο δίκτυο ICS-Forth.

Διαβάστε περισσότερα στην πηγή



Share

Δεν υπάρχουν σχόλια:

Λίγες οδηγίες πριν επισκεφθείτε το ιστολόγιό μας (Για νέους επισκέπτες)

1. Στην στήλη αριστερά βλέπετε τις αναρτήσεις του ιστολογίου μας τις οποίες μπορείτε ελεύθερα να σχολιάσετε επωνύμως, ανωνύμως ή με ψευδώνυμο, πατώντας απλά την λέξη κάτω από την ανάρτηση που γραφει "σχόλια" ή "δημοσίευση σχολίου" (σας προτείνω να διαβάσετε με προσοχή τις οδηγίες που θα βρείτε πάνω από την φόρμα που θα ανοίξει ώστε να γραψετε το σχόλιό σας). Επίσης μπορείτε να στείλετε σε φίλους σας την συγκεκριμένη ανάρτηση που θέλετε απλά πατώντας τον φάκελλο που βλέπετε στο κάτω μέρος της ανάρτησης. Θα ανοίξει μια φόρμα στην οποία μπορείτε να γράψετε το email του φίλου σας, ενώ αν έχετε προφίλ στο Facebook ή στο Twitter μπορείτε με τα εικονίδια που θα βρείτε στο τέλος της ανάρτησης να την μοιραστείτε με τους φίλους σας.

2. Στην δεξιά στήλη του ιστολογίου μας μπορείτε να βρείτε το πλαίσιο στο οποίο βάζοντας το email σας και πατώντας την λέξη Submit θα ενημερώνεστε αυτόματα για τις τελευταίες αναρτήσεις του ιστολογίου μας.

3. Αν έχετε λογαριασμό στο Twitter σας δινεται η δυνατότητα να μας κάνετε follow και να παρακολουθείτε το ιστολόγιό μας από εκεί. Θα βρείτε το σχετικό εικονίδιο του Twitter κάτω από τα πλαίσια του Google Friend Connect, στην δεξιά στήλη του ιστολογίου μας.

4. Μπορείτε να ενημερωθείτε από την δεξιά στήλη του ιστολογίου μας με τα διάφορα gadgets για τον καιρό, να δείτε ανακοινώσεις, στατιστικά, ειδήσεις και λόγια ή κείμενα που δείχνουν τις αρχές και τα πιστεύω του ιστολογίου μας. Επίσης μπορείτε να κάνετε αναζήτηση βάζοντας μια λέξη στο πλαίσιο της Αναζήτησης (κάτω από τους αναγνώστες μας). Πατώντας την λέξη Αναζήτηση θα εμφανιστούν σχετικές αναρτήσεις μας πάνω από τον χώρο των αναρτήσεων. Παράλληλα μπορείτε να δείτε τις αναρτήσεις του τρέχοντος μήνα αλλά και να επιλέξετε κάποια συγκεκριμένη κατηγορία αναρτήσεων από την σχετική στήλη δεξιά.

5. Μπορείτε ακόμα να αφήσετε το μήνυμά σας στο μικρό τσατάκι του blog μας στην δεξιά στήλη γράφοντας απλά το όνομά σας ή κάποιο ψευδώνυμο στην θέση "όνομα" (name) και το μήνυμά σας στην θέση "Μήνυμα" (Message).

6. Επίσης μπορείτε να μας στείλετε ηλεκτρονικό μήνυμα στην διεύθυνσή μας koukthanos@gmail.com με όποιο περιεχόμενο επιθυμείτε. Αν είναι σε προσωπικό επίπεδο θα λάβετε πολύ σύντομα απάντησή μας.

7. Τέλος μπορείτε να βρείτε στην δεξιά στήλη του ιστολογίου μας τα φιλικά μας ιστολόγια, τα ιστολόγια που παρακολουθούμε αλλά και πολλούς ενδιαφέροντες συνδέσμους.

Να σας υπενθυμίσουμε ότι παρακάτω μπορείτε να βρείτε χρήσιμες οδηγίες για την κατασκευή των αναρτήσεών μας αλλά και στην κάτω μπάρα του ιστολογίου μας ότι έχει σχέση με δημοσιεύσεις και πνευματικά δικαιώματα.

ΣΑΣ ΕΥΧΟΜΑΣΤΕ ΚΑΛΗ ΠΕΡΙΗΓΗΣΗ

Χρήσιμες οδηγίες για τις αναρτήσεις μας.

1. Στις αναρτήσεις μας μπαίνει ΠΑΝΤΑ η πηγή σε οποιαδήποτε ανάρτηση ή μερος αναρτησης που προέρχεται απο άλλο ιστολόγιο. Αν δεν προέρχεται από κάποιο άλλο ιστολόγιο και προέρχεται από φίλο αναγνώστη ή επώνυμο ή άνωνυμο συγγραφέα, υπάρχει ΠΑΝΤΑ σε εμφανες σημείο το ονομά του ή αναφέρεται ότι προέρχεται από ανώνυμο αναγνώστη μας.

2. Για όλες τις υπόλοιπες αναρτήσεις που δεν έχουν υπογραφή ΙΣΧΥΕΙ η αυτόματη υπογραφή της ανάρτησης. Ετσι όταν δεν βλέπετε καμιά πηγή ή αναφορά σε ανωνυμο ή επώνυμο συντάκτη να θεωρείτε ΩΣ ΑΥΣΤΗΡΟ ΚΑΝΟΝΑ ότι ισχύει η αυτόματη υπογραφή του αναρτήσαντα.

3. Οταν βλέπετε ανάρτηση με πηγή ή και επώνυμο ή ανώνυμο συντάκτη αλλά στη συνέχεια υπάρχει και ΣΧΟΛΙΟ, τότε αυτό είναι ΚΑΙ ΠΑΛΙ του αναρτήσαντα δηλαδή είναι σχόλιο που προέρχεται από το ιστολόγιό μας.

Σημείωση: Να σημειώσουμε ότι εκτός των αναρτήσεων που υπογράφει ο διαχειριστής μας, όλες οι άλλες απόψεις που αναφέρονται σε αυτές ανήκουν αποκλειστικά στους συντάκτες των άρθρων. Τέλος άλλες πληροφορίες για δημοσιεύσεις και πνευματικά δικαιώματα μπορείτε να βρείτε στην κάτω μπάρα του ιστολογίου μας.