Вторник, 31 марта, 20:57
дома Исследования ИССЛЕДОВАНИЯ: Они провоцируют хакерские атаки на морских черепах. Идет кибервойна?

ИССЛЕДОВАНИЯ: Они провоцируют хакерские атаки на морских черепах. Идет кибервойна?

Хакерские атаки SEA TURTLE: кибервойна с Турцией, скрывающаяся за кибертерроризмом?

КРАТКИЙ АНАЛИЗ

Море Черепаха взлом кампания против правительственные сайты государства в Европе и на Ближнем Востокес Грецией, являющейся одной из ключевых целей, вызывает глобальную озабоченность. SecNews провела расследование их возможной личности Хакеры, нападения и риски, связанные с этим.

В 2017 году началась хакерская кампания под названием «Морская черепаха», которая переросла в опасный кибертерроризм, который может стать предвестником кибервойна.

Οι Хакерыизначально атаковали государственные организации, энергетические компании, аналитические центры (think танки), международные правительственные организации, аэропорты и высокая профиль знаменитости Северной Африки и Ближнего Востока, а затем распространился на Европа и Америка.

Ранние спекуляции показали, что за этим стоит взлом кампании расположены Иранские хакеры, поскольку они известны такими атаками, с последними нацеленными на европейские энергетические компании.

Колода, кажется, меняет листья, поскольку атаки продолжаются, указывая на нее Турецкое правительство за атаками.

Кампания наделала много шума у ​​экспертов, так как она имеет особенности черты спонсируемый правительством шпионаж для продвижения турецких интересов.

МОРЕ TURTLE КАМПАНИЯ

Давайте сначала проанализируем природу моря Черепаха кампания и ее цели, Кампания «Морские черепахи» отслеживается с января 2018 года. основные задачи государственных и частных органов государств. Его характеристикой являются DNS угон самолета атаки.

По имеющимся данным, атаки были обнаружены примерно в 40 организаций в 13 странах.

морская черепаха индейка хакер кибервойна морская черепаха хакерские атаки

Злоумышленники высоко организованы и используют сложные методы, которые дают им доступ к чувствительным сети и системы. Атака DNS-перехвата перенаправляет пользователей на вредоносные сайты, модифицируя их Записи имен DNS или его настройки сервер.

Похоже, кампания нацелены на две категории жертв. Первая категория принадлежит организациям национальной безопасности, министерствам иностранных дел и связанные с энергетикой организации. Вторая категория жертв - администраторы DNS, телекоммуникационные компании и интернет-провайдеры.

Стоит отметить, что первой целью злоумышленников являются третьи стороны (провайдеры), которые предоставляют услуги своим сторонним (аутсорсинговым) целям.

DNS HКРАТКИЕ НАПАДЕНИЯ

Что такое DNS Угон самолета;

Перехват DNS, отравление DNS или перенаправление DNS - это практика, которая подрывает анализ запросов системы доменных имен (DNS). Это может быть достигнуто с вредоносное ПО который заменяет конфигурацию TCP / IP компьютера, чтобы показать вредоносный DNS-сервер, управляемый хакером, или изменить поведение доверенного DNS-сервера, чтобы он не соответствовал стандартам Интернета. Конечно же Эти модификации сделаны в злонамеренных целях.

Как мы можем себе представить, кампания «Морские черепахи» делает эти модификации в злых целях. В частности:

Нападавшие приобрести их Полномочия администратора сеть организации и изменить записи DNS.

В противном случае они приобретают доступ через DNS администраторкто продает имена домен и управляет записями DNS. DNS-реестр доступен через приложение реестра с использованием Extensible Provisioning Protocol (EPP).

Хакеры получают один из этих ключей EPP для изменения записей DNS, которые обрабатываются администратором.

Хакеры пытаются украсть учетные данные для доступа к сетям и системам следующим образом:

  1. первоначально пытаясь контролировать записи DNS цели,
  2. затем измените записи DNS на перенаправить пользователей на серверы который находится под контролем хакеров, а не на реальных серверах
  3. и, наконец, украсть учетные данные, когда пользователи общаются с контролируемым сервером.

Благодаря этим процедурам хакерам удалось получить доступ к системам организации и атаковать.

Используйте новый DNS Угон самолета инжиниринг

Новая техника использовалась экономно, и до сих пор они были определены только два лиц от 2018.

В этом случае записи сервера имен доменов были изменены, чтобы ссылаться на вредоносный сервер законными пользователями. Контролируемый сервер имен и похищенные имена хостов приведут к одному и тому же адресу IP на короткое время, обычно менее 24 часов. В обоих случаях одно из угнанных имен хостов ссылалось на почтовую службу, с помощью которой хакеры использовали свои учетные данные для входа. жертвы, Одним из аспектов этого метода, который делает мониторинг чрезвычайно сложным, является то, что контролируемые серверы имен не использовались для нескольких целей - это означает, что у каждого захваченного объекта было свое собственное имя хоста сервера имен и собственный уникальный IP-адрес. В то время как ранее упомянутые домены имен серверов, такие как ns1 [.] Intersecdns [.] com были использованы для нацеливания на несколько организаций.

новый Сервер имен контролируется Хакеры

rootdnservers[.] com: В нем представлены сходные модели поведения для серверов имен, которые ранее использовались в рамках кампании «Морская черепаха». Домен rootdnservers [.] com Опубликовано 5 апреля 2019 года регистратором NameCheap. К новому домен rootdnservers [.] com был использован для перехвата DNS против три правительственных агентства что все использовали .gr, греческий ccTLD, Весьма вероятно, что угоны были совершены через доступ к сети ICS-Forth.

Ниже приведена таблица с тремя последними вредоносными серверами имен, которые были связаны с этим действием ( Талос разведка):

HostnamesIP-адресаОперационный статус
ns1 [.] rootdnservers [.] com.45 [.] 32 [.] 100 [.] 62Активные
ns2 [.] rootdnservers [.] com.45 [.] 32 [.] 100 [.] 62Активные
ns1 [.] intersecdns [.] com95 [.] 179 [.] 150 [.] 101Неактивный
ns2 [.] intersecdns [.] com95 [.] 179 [.] 150 [.] 101Неактивный

Новые IP-адреса, связанные с деятельностью "человек посередине":

При идентификации целевых доменов были идентифицированы захваченные имена хостов и соответствующие узлы MitM. Хакеры применили тактику «олицетворения сертификата», т.е. целевое имя хоста предоставило SSL сертификат от другого поставщика SSL. Ниже приведена таблица с датами и соответствующими IP-адресами.

ВремяIP-адрес
13 апреля 201995 [.] 179 [.] 131 [.] 225
16 апреля 201995 [.] 179 [.] 131 [.] 225
11 апреля 201995 [.] 179 [.] 131 [.] 225
11 апреля 2019140 [.] 82 [.] 58 [.] 253
10 апреля 201995 [.] 179 [.] 156 [.] 61

Индикаторы нарушения

IP-адресхарактеристикаДиапазон дат
185 [.] 64 [.] 105 [.] 100Операционный узелМарт - апрель 2019
178 [.] 17 [.] 167 [.] 51Операционный узелИюнь 2019
95 [.] 179 [.] 131 [.] 225Mitm NodeАпрель 2019
140 [.] 82 [.] 58 [.] 253Mitm NodeАпрель 2019
95 [.] 179 [.] 156 [.] 61Mitm NodeАпрель 2019
196 [.] 29 [.] 187 [.] 100Mitm NodeДекабрь 2018
188 [.] 226 [.] 192 [.] 35Mitm NodeЯнварь 2018
ns1 [.] rootdnservers [.] comУправляемый актерами сервер именАпрель 2019
ns2 [.] rootdnservers [.] comУправляемый актерами сервер именАпрель 2019
45 [.] 32 [.] 100 [.] 62Размещенный вредоносный сервер именАпрель 2019
ns1 [.] intersecdns [.] comУправляемый актерами сервер именФевраль - апрель 2019
ns2 [.] intersecdns [.] comУправляемый актерами сервер именФевраль - апрель 2019
95 [.] 179 [.] 150 [.] 101Размещенный вредоносный сервер именФевраль - июль 2019

ИРАН И МОРСКИЕ ЧЕРЕПАХОВЫЕ АТАКИ

Первое предположение заключается в том, что Иран хочет быть за взломом шпионская кампания.

Исследователи отмечают O · X½ взлом Команда APT34 за кибершпионаж кампании. Стоит отметить, что есть много общего между его процессом удостоверения Море черепаха проект и проект иранских хакеров WebMask.

Сравнивая TTP двух кампаний, можно найти много общего. Кроме того, цели APT34 такие же, как и у команды, стоящей за ним. Море Черепаха кампания, Нет достаточных доказательств для подтверждения дела, но это представляется вполне возможным, даже если оно не было подтверждено.

Одно из ключевых сходств двух кампаний это DNS Угон самолета. Кроме того, финансируемые государством иранские хакеры, как известно, используют DNS Hijacking для перенаправления жертв на сайты атак. Анализируя TTP хакеров, проект WebMask родился после апреля 2016 года. Он использовался для атаки по крайней мере на цели в Объединенных Арабских Эмиратах. Кроме того, APT использовал провайдера NovinVPS, но это было необходимо полномочия изменить его на авторитетный DNS. Поэтому целью кампании является сбор данных, что также имеет место для Море Черепаха.

ТУРЦИЯ И МОРСКИЕ ЧЕРЕПАХОВЫЕ АТАКИ

Более свежие спекуляции требуют, чтобы турецкое правительство поддержало онлайн-кампанию шпионаж.

По словам двух британских чиновников и американского чиновника, деятельность носит характер государственный шпионаж привержен дальнейшим интересам Турции.

Четыре ключевых функции:

  • Η личность и местонахождение жертв, которые включены правительства стран геополитического значения для Турции
  • Сходства с предыдущими атаками, якобы использованными инфраструктура регулируется Турцией
  • Конфиденциальная информация который не может быть обнародован
  • Ссылочные атаки, потому что они используют собственный серверы или общая инфраструктура.

Министерство внутренних дел Турции от комментариев отказалось. Высокопоставленный турецкий чиновник не сразу ответил на вопросы об этой кампании, но сказал, что сама Турция часто становится жертвой кибератак.

ВРЕМЯ АТАКИ: ГРЕЦИЯ - КЛЮЧЕВАЯ ЦЕЛЬ МОРЕ TURTLE КАМПАНИЯ

морская черепаха индейка хакер кибервойна морская черепаха хакерские атаки

  • АПРЕЛЬ 2019

10 июля 2019 г. ICS-Forth (институт of компьютер Наука of что собой представляет Основа для Исследования и Технология), o организация, которая управляет топовыми кодами доменов .gr и .el. Греции публично признал, что С 19 по 24 апреля 2019 г.

Хакеры, стоящие за взломом, - это та же группа, которая упоминалась в отчете Cisco Talos в апреле, под названием «Морская черепаха».

Команда использует относительно новый подход к своим хакерским атакам. Вместо того, чтобы нацеливаться на жертв напрямую, они нарушают или получают доступ к учетным записям регистраторов доменов и управляемым провайдерам DNS где они вносят изменения в настройки DNS компании.

Изменяя записи DNS для внутренних серверов, перенаправить его трафик предназначен для законных приложений компания или веб-сервисы для клонирования серверов, на которых они работают нападения "человек посередине" и заблокировать учетные данные для входа.

Атаки недолговечны, длиться от часа до дня и это чрезвычайно трудно обнаружить из-за того, что большинство компаний не отслеживают изменения в настройках DNS.

Команда морских черепах обычно нарушает счета на регистраторы доменов и управляет DNS-провайдеры - учетные записи, которые соответствуют их целямкто использует их для управления различными DNS-регистрациями серверы и услуги.

Однако сейчас Sea Turtle удалось взломать весь провайдер доменных услуг верхнего уровня для достижения своей цели то есть измените настройки DNS-сервера целевого сервера для всей страны, для всей Греции.

морская черепаха индейка хакер кибервойна морская черепаха хакерские атаки

В сообщении говорится, что команда морских черепах ранее атаковала NetNod, основанный на узле интернет-обмена Швеция, которая предлагала услуги DNS организациям ccTLD, таким как ICS-Forth, среди других.

Хакеры сохранили свой незаконный доступ к Сеть ICS-Forth от узла управления и контроля (C2). После анализа этого узла C2 он также был найден для доступ к организации в Сирии, который ранее был перенаправлен с использованием контролируемого хакерами имени сервера ns1 [.] intersecdns [.] com. Следовательно, оказывается, что за обоими взлом Хакинг (Греция и Сирия) прячется группа.

Согласно информации, которая не может быть оспорена, привлеченные хакеры получили доступ к менеджеру терминала станции ICS-Forth (возможно, с помощью фишинга атаки), где известных впоследствии установлена ​​программа удаленного доступа (TeamViewer). Используя терминал через Teamviewer и долгое время следуя за администратором, они получили root-доступ к центральным серверам DNS-администратора верхнего уровня для префикса .gr / .el. Благодаря этому доступу они теперь приобрели все греческие домены, коды EPP и смогли изменить / перенаправить это они знают, какой домен они хотят. Целью, как теперь известно, была Национальная разведывательная служба (www.nis.gr), Министерство иностранных дел (www.mfa.gr), греческий парламент, сервер электронной почты премьер-министра и другие важнейшие инфраструктуры страны. В течение 24 часов все их электронные письма были перенаправлены на сервер (ы) хакеров, в результате чего были получены электронные письма, пароли официальных лиц и важная информация! Анализ доступа с помощью программного обеспечения Teamviewer и его журналов не позволил точно определить электронные следы злоумышленников.

Кроме того, есть еще один аспект проблемы, который не был обнародован, и SecNews выпускает сегодня. Турецкие хакеры, организовавшие атаку, захватили всех почтовых менеджеров всех греческих доменов (* .gr). Любой, кто покупает греческий домен, указывает контактную информацию (имя, фамилию, телефон) провайдерам, которые регистрируются. Часть этой информации также доступна на ICS-FORTH.

Эти предметы, вероятно, были обменены или проданы на известных рынках даркнета в обмен на финансовую выгоду. В результате месяцы июль-сентябрь 2019 года наблюдались чрезвычайно мощные и спам-кампании против электронной почты πкоторые были зарегистрированы в различных доменах .gr. и кто никогда не получал ни малейшего спама по электронной почте. В основном речь шла о электронном письме, информирующем многих наших сограждан о том, что они взламывали и (ложно) делали фотографии или фотографии и просили их заплатить выкуп. Вот пример:

  • ЯНВАРЬ 2020

17 января турецкая команда хакерs называется "Анка Неферлер" она взяла на себя ответственность за DDoS-атаки, которые всплыли поздно вечером в четверг на сайтах правительства Греции. Twitter.

По первой информации, проблемы доступности есть οι сайты парламента, Министерства иностранных дел и Национальной разведывательной службы. Похоже, что были также проблемы на Афинской фондовой бирже и сайтах казначейства.

Правительственные источники подтвердили этот факт, заявив, что проблемные сайты сейчас работают нормально. Также были приняты меры для обеспечения их бесперебойной работы. веб-сайт и их будущее, защищающее от надвигающихся атак. Согласно источникам, никаких данных шпионажа не произошло.

морская черепаха индейка хакер кибервойна морская черепаха хакерские атаки

Турецкие СМИ сообщили СМИ, что турецкие хакеры вторглись на сайты правительства Греции как достижение.

По совпадению или нет, те же самые сайты, которые стали жертвами DDoS-атаки, стали жертвами кампании по наблюдению за морскими черепахами несколько месяцев назад (в апреле 2019 года)?

НАПАДЕНИЯ НА МОРЕ Черепахи: ЖЕРТВЫ

Недавние жертвы кампании морских черепах также включали, Государственная разведывательная служба Албании, в соответствии с публичными записями онлайн. Государственная разведывательная служба Албании имела сотни имен пользователей и пароли украдено хакерами.

Албанская разведывательная служба соседней страны заявила, что нападения были на неклассифицированную инфраструктуру, которая не хранит и не обрабатывает информацию, классифицированную как «государственная тайна» любого уровня.

морская черепаха индейка хакер кибервойна морская черепаха хакерские атаки

Η Кипр был также целью хакеров. Правительство Кипра недавно заявило, что «Власти сразу узнали о нападениях и смогли защитить себя. Мы не будем комментировать детали по соображениям национальной безопасности ». он добавил.

Атаки на Кипр, Греция, Албания и Сирия произошли в конце 2018 или начале 2019 года, согласно публичным источникам в интернете. По словам представителей службы в соответствующих странах, продолжаются более широкие атаки, а также исследования независимых исследователей. киберпространство

В Турции, с другой стороны, их жертвы упали взлом нападения на различные неправительственные организации, кто, по данным турецких СМИ, связанный с Фетхуллах Гюлен базируется в США и обвиняется в его организации неудачная попытка переворота в 2016 году.

Ο Фетхуллах Гюлен публично отрицал попытку переворота.

ЗАКЛЮЧЕНИЕ

Атаки кампании «Морская черепаха» скоро не закончатся. ΣСогласно опубликованным отчетам и перекрестным ссылкам независимых исследователей, происхождение хакеров происходит в соседней стране, Турции. Фактически это спонсируемые государством хакерские атаки, финансируемые государственными органами. Хакеры за этим, похоже, имеют хорошо продуманный план атаки с медленными и успешными шагами. Цели? Страны имеют большое значение для турецких хакеров, желающих пригласить их в глобальную кибервойну. Насколько готовы штаты впасть в битву? У них есть обученная кибератака?

Судя по информации, которую мы публикуем сегодня, греческие власти должны действовать немедленно. Существуют конкретные следы, которые могут привести к происхождению и личности преступников. в частности:

  • Для создания инфраструктуры хакерской атаки используются зарегистрированные домены .com. Эти домены регистрируются и оплачиваются кредитной картой провайдеру namecheap. Власти должны немедленно связаться с поставщиком и отследить лиц, стоящих за этими платежами.
  • В дополнение к используемым IP-адресам существуют внешние провайдеры (например, Vultr, Bacloud и т. Д.), Которые снова принимают платежи по кредитным картам. Хакеры использовали этих провайдеров в качестве VPS для выполнения перенаправлений, которые они хотели
  • Используя специализированные инструменты (следы безопасности), можно определить, какие IP-адреса были использованы.
  • Примечательно, что военный генерал СУДАН (Военный генерал Команд Хартум) также использовался в качестве посредника - 196.29.187.100

Все показывает, что на наши вопросы ответят очень скоро.

Оставайтесь с нами на SecNews за разработки на тему и топы технические новости ток

SecNews
SecNewshttps://www.secnews.gr
В мире без заборов и стен, которым нужны ворота и окна

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

LIVE NEWS

Microsoft Edge - Password Monitor: оповещение при краже ваших паролей

Microsoft Edge представляет новый сервис под названием «Password Monitor». Эта служба уведомит ...

Face ID: как использовать его во время ношения маски для лица

Apple Face ID отлично подходит для распознавания лиц благодаря своей системе True Depth, которая ...

Canonical: новые инструменты и поддержка Ubuntu Linux для Raspberry Pi

С выпуском Ubuntu 19.10 компания Canonical объявила об официальной схеме для одноплатных компьютеров Raspberry Pi. Raspberry Pi не поддерживает ...

Работа на дому: избежать этих 9 ошибок

С распространением Covid-19 большая часть населения предпочитает работать из дома. Работать из дома нужно ...

Форд построит 50,000 респираторов в ближайшие 100 дней

В понедельник Ford заявил, что построит 50.000 100 респираторов в течение 20 дней, начиная с XNUMX апреля до ...

«Заражение»: главные герои фильма рассказывают о COVID-19!

Главные герои фильма «Заражение» сотрудничали с учеными из Школы общественного здравоохранения Колумбийского университета, участвуя в объявлениях службы здравоохранения о ...

Бесплатный доступ к облаку на квантовых компьютерах D-Wave

Канадская компания Quantum Computer D-Wave объявила о том, что она предоставляет бесплатный доступ людям, вовлеченным в ...

Airbnb: он выделяет 250 миллионов долларов своим хозяевам на коронации

Airbnb объявил, что потратит 250 миллионов долларов на поддержку своих хозяев по всему миру, ...

ФБР предупреждает: угонщики вторгаются на ваши встречи Zoom

ФБР сегодня предупредило об угонщиках, которые участвовали в видео встречах в Zoom, используемых для онлайн-уроков и деловых встреч, с ...

Европа Коронавирус: в конце не было никаких серьезных проблем с перегрузкой в ​​Интернете

BEREC, европейский регулятор телекоммуникаций, заявил сегодня, что с момента его создания ...