ΕΡΕΥΝΑ: Αυτοί υποκινούν τις Sea Turtle hacking επιθέσεις. Κυβερνοπόλεμος σε εξέλιξη;

SEA TURTLE hacking επιθέσεις: Κυβερνοπόλεμος σε εξέλιξη με την Τουρκία να κρύβεται πίσω από τη διαδικτυακή τρομοκρατία;

ΣΥΝΟΠΤΙΚΗ ΑΝΑΛΥΣΗ

Η Sea Turtle hacking εκστρατεία ενάντια κυβερνητικών ιστοσελίδων κρατών σε Ευρώπη και Μέση Ανατολή, με την Ελλάδα να αποτελεί έναν από τους βασικούς στόχους, έχει δημιουργήσει παγκόσμια ανησυχία. Το SecNews διεξήγαγε έρευνα σχετικά με την πιθανή ταυτότητα των hackers, τις επιθέσεις και τους κινδύνους που προκύπτουν από αυτές. 

Από το 2017 έχει ξεκινήσει μια hacking εκστρατεία, γνωστή ως Sea Turtle, η οποία εξελίσσεται σε μια επικίνδυνη διαδικτυακή τρομοκρατία που ίσως αποτελεί προάγγελο ενός κυβερνοπολέμου. 

Οι hackers, αρχικά, επιτίθεντο σε κυβερνητικές οργανώσεις, εταιρείες ενέργειας, δεξαμενές σκέψης (think tanks), διεθνείς κυβερνητικές οργανώσεις, αεροδρόμια και high profile προσωπικότητες της Βόρειας Αφρικής και της Μέσης Ανατολής, ενώ, στη συνέχεια, εξαπλώθηκαν σε Ευρώπη και Αμερική.

Οι πρώτες εικασίες έδειχναν ότι πίσω από την hacking εκστρατεία βρίσκονται Ιρανοί hackers, εφόσον, μάλιστα, φημίζονται για τέτοιου είδους επιθέσεις, με τις πιο πρόσφατες να στοχοποιούν Ευρωπαϊκές εταιρείες ενέργειας. 

Η τράπουλα φαίνεται να αλλάζει φύλλα όσο οι επιθέσεις συνεχίζονται, υποδεικνύοντας την Τουρκική κυβέρνηση πίσω από τις επιθέσεις. 

Η εκστρατεία έχει θορυβήσει αρκετά τους ειδικούς καθώς διαθέτει χαρακτηριστικά γνωρίσματα μιας κυβερνητικά υποκινούμενης κατασκοπείας για την προώθηση τουρκικών συμφερόντων.

SEA TURTLE CAMPAIGN

Ας αναλύσουμε αρχικά την φύση της Sea Turtle εκστρατείας καθώς και τους σκοπούς της. Η Sea Turtle εκστρατεία εντοπίζεται από τον Ιανουάριο του 2018, με βασικούς στόχους δημόσιους και ιδιωτικούς φορείς κρατών. Χαρακτηριστικό γνώρισμα της είναι οι DNS hijacking επιθέσεις. 

Σύμφωνα με, τα μέχρι στιγμής, στοιχεία εντοπίζονται επιθέσεις σε περίπου 40 οργανισμούς σε 13 χώρες.

Οι επιτιθέμενοι είναι εξαιρετικά οργανωμένοι και χρησιμοποιούν εξελιγμένες μεθόδους, οι οποίες τους παρέχουν πρόσβαση σε ευαίσθητα δίκτυα και συστήματα. Η DNS hijacking επίθεση ανακατευθύνει τους χρήστες σε κακόβουλα website, τροποποιώντας τα DNS name records ή τις ρυθμίσεις του server.

Η εκστρατεία φαίνεται να στοχεύει σε δύο κατηγορίες θυμάτων. Στην πρώτη κατηγορία ανήκουν οργανώσεις εθνικής ασφάλειας, υπουργεία εξωτερικών και οργανώσεις που σχετίζονται με την ενέργεια. Στη δεύτερη κατηγορία θυμάτων ανήκουν διαχειριστές DNS, εταιρείες τηλεπικοινωνιών και πάροχοι υπηρεσιών διαδικτύου.

Αξίζει αν σημειώσουμε ότι πρώτος στόχος των επιτιθέμενων είναι οι τρίτες εταιρείες (πάροχοι), που προσφέρουν υπηρεσίες στους βασικούς τους στόχους (third party ή outsource). 

DNS HIJACKING ATTACKS 

Τι είναι το DNS Hijacking; 

DNS hijacking, DNS poisoning ή DNS redirection είναι η πρακτική της υπονόμευσης της ανάλυσης των Domain Name System (DNS) queries. Αυτό μπορεί να επιτευχθεί με κακόβουλο λογισμικό που αντικαθιστά τη διαμόρφωση TCP / IP ενός υπολογιστή, ώστε να δείχνει σε έναν κακόβουλο DNS server που ελέγχεται από έναν hacker ή τροποποιεί τη συμπεριφορά ενός αξιόπιστου DNS server έτσι ώστε να μην συμμορφώνεται με τα πρότυπα διαδικτύου. Φυσικά, οι τροποποιήσεις αυτές πραγματοποιούνται για κακόβουλους σκοπούς.

Η Sea Turtle εκστρατεία πραγματοποιεί αυτές τις τροποποιήσεις για κακόβουλους σκοπούς, όπως μπορούμε να φανταστούμε. Συγκεκριμένα:

Οι επιτιθέμενοι αποκτούν τα credentials του διαχειριστή του δικτύου του εκάστοτε οργανισμού και τροποποιούν τα DNS records.

Διαφορετικά αποκτούν πρόσβαση μέσω DNS διαχειριστή, ο οποίος πουλά ονόματα domain και διαχειρίζεται τα DNS records. Το DNS registry είναι προσβάσιμο μέσω της εφαρμογής μητρώου χρησιμοποιώντας το Extensible Provisioning Protocol (EPP).

Οι hackers αποκτούν ένα από αυτά τα κλειδιά EPP για να τροποποιήσουν τα DNS records, που χειρίζεται ο διαχειριστής.

Οι hackers προσπαθούν να κλέψουν τα credentials, ώστε να μπουν στα δίκτυα και τα συστήματα, με τον εξής τρόπο: 

• αρχικά προσπαθούν να ελέγξουν τα DNS records του στόχου, 
• μετά τροποποιούν τα DNS records ώστε να ανακατευθύνουν τους χρήστες σε servers που είναι υπό τον έλεγχο των hackers και οχι στους πραγματικούς servers 
• και τέλος κλέβουν τα credentials όταν οι χρήστες επικοινωνούν με τον ελεγχόμενο server.
  

Μέσα από αυτές τις διαδικασίες οι hackers κατάφεραν να αποκτήσουν πρόσβαση στα συστήματα των οργανισμών και να πραγματοποιήσουν επιθέσεις.

Χρήση νέας DNS Hijacking τεχνικής 

Η νέα τεχνική έχει χρησιμοποιηθεί πολύ φειδωλά και μέχρι στιγμής έχουν εντοπίσει μόνο δύο entities από το 2018. 

Στη συγκεκριμένη περίπτωση έγινε τροποποίηση των domain’s name server records για να παραπέμπουν τους νόμιμους χρήστες στον κακόβουλο server. Ο ελεγχόμενος name server και τα hijacked hostnames θα οδηγήσουν στην ίδια διεύθυνση IP για σύντομο χρονικό διάστημα, συνήθως λιγότερο από 24 ώρες. Και στις δύο παρατηρούμενες περιπτώσεις, ένα από τα hijacked hostnames αναφερόταν σε μια υπηρεσία ηλεκτρονικού ταχυδρομείου μέσω της οποίας οι hackers υπέκλεψαν τα διαπιστευτήρια σύνδεσης των θυμάτων. Μία πτυχή αυτής της τεχνικής που καθιστά εξαιρετικά δύσκολη την παρακολούθηση της είναι ότι οι ελεγχόμενοι name servers δεν χρησιμοποιήθηκαν σε πολλαπλούς στόχους – που σημαίνει ότι κάθε hijacked entity είχε το δικό της name server hostname και τη δική του αποκλειστική διεύθυνση IP. Ενώ τα προηγουμένως αναφερθέντα name server domains όπως ns1 [.] Intersecdns [.] Com χρησιμοποιήθηκαν για να στοχεύσουν πολλαπλούς οργανισμούς.

Νέος nameserver ελεγχόμενος από hackers 

rootdnservers[.]com: Παρουσιάζει παρόμοια πρότυπα συμπεριφοράς με τους διακομιστές ονομάτων που είχαν χρησιμοποιηθεί στο παρελθόν ως τμήμα της εκστρατείας Sea Turtle. Το domain rootdnservers [.] Com καταχωρίστηκε στις 5 Απριλίου 2019 μέσω του καταχωρητή NameCheap. To νέο domain rootdnservers [.] Com χρησιμοποιήθηκε για DNS hijacking εναντίον τριών κυβερνητικών φορέων που όλοι χρησιμοποιούσαν το .gr, το ελληνικό ccTLD. Πολύ πιθανό τα hijackings να πραγματοποιήθηκαν μέσω της πρόσβασης που αποκτήθηκε στο δίκτυο ICS-Forth.

Διαβάστε περισσότερα στην πηγή