Хакеры два года взламывали DNS-сервера и похищали данные

Специалисты FireEye обнаружили масштабную кампанию, нацеленную на кражу учетных данных сотрудников государственных и коммерческих организаций по всему миру. Злоумышленники перехватывали запросы DNS, чтобы анализировать трафик жертвы и собирать логины, пароли и другую информацию. Атаки, которые трудно обнаружить при помощи сканеров безопасности, впервые были зафиксированы в январе 2017-го и продолжаются по сей день.

По мнению аналитиков, киберпреступники используют три основные тактики взлома. В первом случае нападающие изменяют DNS-запись почтового сервера компании-жертвы, чтобы перенаправлять трафик на свои ресурсы. Для этой цели злоумышленники авторизуются в панели управления регистратора или хостинг-провайдера организации и корректируют А-запись, отвечающую за контроль почтового трафика. Специалисты FireEye считают, что учетные данные для доступа к веб-интерфейсу администратора домена мошенники получают через украденные ранее логин и пароль.

Сразу после перехвата учетных данных криминальный сервер автоматически переадресует запрос пользователя назад к легитимной почтовой платформе, а жертва продолжает работать с электронными сообщениями, не подозревая, что ее аккаунт скомпрометирован. Злоумышленники используют бесплатные HTTPS-сертификаты Let’s Encrypt для обхода файрволлов и систем безопасности. Локальные антивирусные сканеры также не определяют такую сетевую активность как криминальную.

Второй метод предполагает подмену NS-записи жертвы, что приводит к перехвату всего трафика, адресованного целевому домену. Как и в первом случае, злоумышленники возвращают запросы обратно на легитимный сервер и применяют защищенное соединение для маскировки вредоносной активности. Такая атака не требует доступа к панели администратора DNS, но предполагает взлом сайта регистратора доменных имен или координатора национального домена.

В ряде случаев мошенники применяли отдельную службу DNS-переадресации, которая обрабатывала все запросы сервера жертвы, взломанного одним из двух предыдущих методов. Если пользователь обращался к почтовому серверу, происходил перехват учетной информации, в противном случае трафик передавался для обработки легитимному сервису управления доменом.

Исследователи затрудняются идентифицировать хакерскую группу, стоящую за этими атаками, однако отмечают ряд косвенных признаков, указывающих, что киберпреступники действуют в интересах правительства Ирана.

Взлом DNS-серверов на уровне регистратора домена или хостинг-провайдера — относительно редкое явление, поскольку в этом случае злоумышленникам приходится обходить системы защиты профессионального уровня.

В июле прошлого года ИБ-специалисты обнаружили, что сервер индонезийского провайдера в течение 30 минут перенаправлял запросы, адресованные американским финансовым сервисам, на компьютеры киберпреступников. Продолжительность последующих атак достигла нескольких часов, а число скомпрометированных операторов связи пополнил малайзийский сервис Extreme Broadband.

Источник: //threatpost.ru/cybercriminals-hijacked-dns-servers-during-two-years/30499/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *