Четверг, 26 ноября, 11:52
дома Исследования ИССЛЕДОВАНИЯ: Они провоцируют хакерские атаки на морских черепах. Идет кибервойна?

ИССЛЕДОВАНИЯ: Они провоцируют хакерские атаки на морских черепах. Идет кибервойна?

Хакерские атаки SEA TURTLE: кибервойна с Турцией, скрывающаяся за кибертерроризмом? 

КРАТКИЙ АНАЛИЗ

Море Черепаха взлом кампания против правительственные сайты государства в Европе и на Ближнем Востокес Грецией, являющейся одной из ключевых целей, вызывает глобальную озабоченность. SecNews провела расследование их возможной личности Хакеры, нападения и риски, связанные с этим.

В 2017 году началась хакерская кампания под названием «Морская черепаха», которая переросла в опасный кибертерроризм, который может стать предвестником кибервойна.

Οι Хакерыизначально атаковали государственные организации, энергетические компании, аналитические центры (think танки), международные правительственные организации, аэропорты и высокая профиль знаменитости Северной Африки и Ближнего Востока, а затем распространился на Европа и Америка.

ИССЛЕДОВАНИЯ: Они провоцируют хакерские атаки на морских черепах. Идет кибервойна?

Ранние спекуляции показали, что за этим стоит взлом кампании расположены Иранские хакеры, поскольку они известны такими атаками, с последними нацеленными на европейские энергетические компании.

Колода, кажется, меняет листья, поскольку атаки продолжаются, указывая на нее Турецкое правительство за атаками.

Кампания наделала много шума у ​​экспертов, так как она имеет особенности черты спонсируемый правительством шпионаж для продвижения турецких интересов.

МОРЕ TURTLE КАМПАНИЯ

Давайте сначала проанализируем природу моря Черепаха кампания и ее цели, Кампания «Морские черепахи» отслеживается с января 2018 года. основные задачи государственных и частных органов государств. Его характеристикой являются DNS угон самолета атаки.

По имеющимся данным, атаки были обнаружены примерно в 40 организаций в 13 странах.

Злоумышленники высоко организованы и используют сложные методы, которые дают им доступ к чувствительным сети и системы. Атака DNS-перехвата перенаправляет пользователей на вредоносные сайты, модифицируя их Записи имен DNS или его настройки сервер.

Похоже, кампания нацелены на две категории жертв. Первая категория принадлежит организациям национальной безопасности, министерствам иностранных дел и связанные с энергетикой организации. Вторая категория жертв - администраторы DNS, телекоммуникационные компании и интернет-провайдеры.

Стоит отметить, что первой целью злоумышленников являются третьи стороны (провайдеры), которые предоставляют услуги своим сторонним (аутсорсинговым) целям.

ИССЛЕДОВАНИЯ: Они провоцируют хакерские атаки на морских черепах. Идет кибервойна?

DNS HКРАТКИЕ НАПАДЕНИЯ

Что такое DNS Угон самолета;

Перехват DNS, отравление DNS или перенаправление DNS - это практика, подрывающая анализ запросов системы доменных имен (DNS). Этого можно достичь с помощью вредоносное ПО который заменяет конфигурацию TCP / IP компьютера, чтобы показать вредоносный DNS-сервер, управляемый хакером, или изменить поведение доверенного DNS-сервера, чтобы он не соответствовал стандартам Интернета. Конечно же Эти модификации сделаны в злонамеренных целях.

Как мы можем себе представить, кампания «Морские черепахи» делает эти модификации в злых целях. В частности:

Нападавшие приобрести их Полномочия администратора сеть организации и изменить записи DNS.

В противном случае они приобретают доступ через DNS администраторкто продает имена домен и управляет записями DNS.  DNS-реестр доступен через приложение реестра с использованием Extensible Provisioning Protocol (EPP).

Хакеры получают один из этих ключей EPP для изменения записей DNS, которые обрабатываются администратором.

Хакеры пытаются украсть учетные данные для доступа к сетям и системам следующим образом:

  1. первоначально пытаясь контролировать записи DNS цели,
  2. затем измените записи DNS на перенаправить пользователей на серверы который находится под контролем хакеров, а не на реальных серверах
  3. и, наконец, украсть учетные данные, когда пользователи общаются с контролируемым сервером.

Благодаря этим процедурам хакерам удалось получить доступ к системам организации и атаковать.

Используйте новый DNS Угон самолета инжиниринг

Новая техника использовалась экономно, и до сих пор они были определены только два лиц от 2018.

В этом случае записи сервера сервера имен домена были изменены, чтобы направлять законных пользователей на вредоносный сервер. Контролируемый сервер имен и захваченные имена хостов будут указывать на один и тот же адрес. IP на короткое время, обычно менее 24 часов. В обоих случаях одно из угнанных имен хостов ссылалось на почтовую службу, с помощью которой хакеры использовали свои учетные данные для входа. жертвы. Один из аспектов этого метода, который чрезвычайно затрудняет отслеживание, заключается в том, что контролируемые серверы имен не использовались для нескольких целей - это означает, что каждая захваченная сущность имела собственное имя хоста сервера имен и свой собственный выделенный IP-адрес. Хотя ранее упомянутые домены серверов имен, такие как ns1 [.] Intersecdns [.] com были использованы для нацеливания на несколько организаций.

новый Сервер имен контролируется Хакеры

ИССЛЕДОВАНИЯ: Они провоцируют хакерские атаки на морских черепах. Идет кибервойна?

rootdnservers[.] com: В нем представлены сходные модели поведения для серверов имен, которые ранее использовались в рамках кампании «Морская черепаха». Домен rootdnservers [.] com Опубликовано 5 апреля 2019 года регистратором NameCheap. К новому домен rootdnservers [.] com был использован для перехвата DNS против три правительственных агентства что все использовали .gr, греческий ccTLD, Весьма вероятно, что угоны были совершены через доступ к сети ICS-Forth.

Ниже приведена таблица с тремя последними вредоносными серверами имен, которые были связаны с этим действием ( Талос разведка):

HoименаIP-адресаОперационный статус
ns1 [.] rootdnservers [.] com.45 [.] 32 [.] 100 [.] 62Активные
ns2 [.] rootdnservers [.] com.45 [.] 32 [.] 100 [.] 62Активные
ns1 [.] intersecdns [.] com95 [.] 179 [.] 150 [.] 101Неактивный
ns2 [.] intersecdns [.] com95 [.] 179 [.] 150 [.] 101Неактивный

Новые IP-адреса, связанные с деятельностью "человек посередине":

Путем идентификации целевых доменов были идентифицированы захваченные имена хостов и соответствующие узлы MitM. Хакеры применили тактику «имитации сертификата», то есть для целевого имени хоста они предоставили SSL сертификат от другого поставщика SSL. Ниже приведена таблица с датами и соответствующими IP-адресами.

ВремяIP-адрес
13 апреля 201995 [.] 179 [.] 131 [.] 225
16 апреля 201995 [.] 179 [.] 131 [.] 225
11 апреля 201995 [.] 179 [.] 131 [.] 225
11 апреля 2019140 [.] 82 [.] 58 [.] 253
10 апреля 201995 [.] 179 [.] 156 [.] 61

Индикаторы нарушения

IP-адресхарактеристикаДиапазон дат
185 [.] 64 [.] 105 [.] 100Операционный узелМарт - апрель 2019
178 [.] 17 [.] 167 [.] 51Операционный узелИюнь 2019
95 [.] 179 [.] 131 [.] 225Mitm узелАпрель 2019
140 [.] 82 [.] 58 [.] 253Mitm узелАпрель 2019
95 [.] 179 [.] 156 [.] 61Mitm узелАпрель 2019
196 [.] 29 [.] 187 [.] 100Mitm узелДекабрь 2018
188 [.] 226 [.] 192 [.] 35Mitm узелЯнварь 2018
ns1 [.] rootdnservers [.] comУправляемый актерами сервер именАпрель 2019
ns2 [.] rootdnservers [.] comУправляемый актерами сервер именАпрель 2019
45 [.] 32 [.] 100 [.] 62Размещенный вредоносный сервер именАпрель 2019
ns1 [.] intersecdns [.] comУправляемый актерами сервер именФевраль - апрель 2019 г.
ns2 [.] intersecdns [.] comУправляемый актерами сервер именФевраль - апрель 2019 г.
95 [.] 179 [.] 150 [.] 101Размещенный вредоносный сервер именФевраль - июль 2019 г.

ИРАН И МОРСКИЕ ЧЕРЕПАХОВЫЕ АТАКИ

Первое предположение заключается в том, что Иран хочет быть за взломом шпионская кампания.

Исследователи отмечают O · X½ взлом Команда APT34 за кибершпионаж кампании. Стоит отметить, что есть много общего между его процессом удостоверения Море черепаха проект и проект иранских хакеров WebMask.

Сравнивая TTP двух кампаний, можно найти много общего. Кроме того, цели APT34 такие же, как и у команды, стоящей за ним. Море Черепаха кампания, Нет достаточных доказательств для подтверждения дела, но это представляется вполне возможным, даже если оно не было подтверждено.

Одно из ключевых сходств двух кампаний это DNS Угон самолета. Кроме того, финансируемые государством иранские хакеры, как известно, используют DNS Hijacking для перенаправления жертв на сайты атак. Анализируя TTP хакеров, проект WebMask родился после апреля 2016 года. Он использовался для атаки по крайней мере на цели в Объединенных Арабских Эмиратах. Кроме того, APT использовал провайдера NovinVPS, но это было необходимо полномочия изменить его на авторитетный DNS. Поэтому целью кампании является сбор данных, что также имеет место для Море Черепаха.

ТУРЦИЯ И МОРСКИЕ ЧЕРЕПАХОВЫЕ АТАКИ

Более свежие спекуляции требуют, чтобы турецкое правительство поддержало онлайн-кампанию шпионаж.

По словам двух британских чиновников и американского чиновника, деятельность носит характер государственный шпионаж привержен дальнейшим интересам Турции.

Четыре ключевых функции:

  • Η личность и местонахождение жертв, которые включены правительства стран геополитического значения для Турции
  • Сходства с предыдущими атаками, якобы использованными инфраструктура регулируется Турцией
  • Конфиденциальная информация который не может быть обнародован
  • Ссылочные атаки, потому что они используют собственный серверы или общая инфраструктура.

Министерство внутренних дел Турции от комментариев отказалось. Высокопоставленный турецкий чиновник не сразу ответил на вопросы об этой кампании, но сказал, что сама Турция часто становится жертвой кибератак.

ХРОНИКА АТАКИ: ГРЕЦИЯ - ЕГО ГЛАВНАЯ ЦЕЛЬ МОРЕ TURTLE КАМПАНИЯ

  • АПРЕЛЬ 2019

10 июля 2019 г. ICS-Форт (институт of Компьютер Наука of что собой представляет Основа для Исследования а так же трейдинга), o организация, которая управляет топовыми кодами доменов .gr и .el. Греции публично признал, что С 19 по 24 апреля 2019 г.

Хакеры, стоящие за взломом, - это та же группа, которая упоминалась в отчете Cisco Talos в апреле, под названием «Морская черепаха».

ИССЛЕДОВАНИЯ: Они провоцируют хакерские атаки на морских черепах. Идет кибервойна?

Команда использует относительно новый подход к своим хакерским атакам. Вместо того, чтобы нацеливаться на жертв напрямую, они нарушают или получают доступ к учетным записям регистраторов доменов и управляемым провайдерам DNS где они вносят изменения в настройки DNS компании.

Изменяя записи DNS для внутренних серверов, перенаправить его трафик предназначен для законных приложений компания или веб-сервисы для клонирования серверов, на которых они работают нападения "человек посередине" и заблокировать учетные данные для входа.

Атаки недолговечны, длиться от часа до дня и это чрезвычайно трудно обнаружить из-за того, что большинство компаний не отслеживают изменения в настройках DNS.

Команда морских черепах обычно нарушает счета на регистраторы доменов и управляет Поставщики DNS - учетные записи, соответствующие их целямкто использует их для управления различными DNS-регистрациями серверы и услуги.

Однако сейчас Sea Turtle удалось взломать весь провайдер доменных услуг верхнего уровня для достижения своей цели То есть, чтобы изменить настройки DNS-сервера целевого сервера для всей страны, для всей Греции.

В сообщении говорится, что команда морских черепах ранее атаковала NetNod, основанный на узле интернет-обмена Швеция, которая, среди прочего, предоставляла услуги DNS для организаций ccTLD, таких как ICS-Forth.

Хакеры сохранили свой незаконный доступ к Сеть ICS-Forth от узла управления и контроля (C2). После анализа этого узла C2 он также был найден для доступ к организации в Сирии, который ранее был перенаправлен с использованием контролируемого хакерами имени сервера ns1 [.] intersecdns [.] com. Следовательно, оказывается, что за обоими взлом Хакинг (Греция и Сирия) прячется группа.

Согласно информации, которая не может быть оспорена, привлеченные хакеры получили доступ к менеджеру терминала станции ICS-Forth (возможно, с помощью фишинга атаки), где известных впоследствии установлена ​​программа удаленного доступа (TeamViewer). Используя терминал через Teamviewer и долгое время следуя за администратором, они получили root-доступ к центральным серверам DNS-администратора верхнего уровня для префикса .gr / .el. Благодаря этому доступу они теперь приобрели все греческие домены, коды EPP и смогли изменить / перенаправить это попробуйте любой домен, который они хотели. Целью, как теперь известно, были Национальная разведывательная служба (www.nis.gr), Министерство иностранных дел (www.mfa.gr), Парламент Греции, почтовый сервер премьер-министра и другие важные объекты инфраструктуры страны. В течение 24 часов все их электронные письма перенаправлялись на сервер / серверы хакеров, что приводило к перехвату писем, паролей официальных лиц и важной информации! Анализ доступа через программное обеспечение Teamviewer и его файлы журналов не позволил точно идентифицировать электронные следы злоумышленников.

Кроме того, есть еще один аспект проблемы, который не был обнародован, и SecNews выпускает сегодня. Турецкие хакеры, организовавшие атаку, захватили всех почтовых менеджеров всех греческих доменов (* .gr). Любой, кто покупает греческий домен, указывает контактную информацию (имя, фамилию, телефон) провайдерам, которые регистрируются. Часть этой информации также доступна на ICS-FORTH.

Эти предметы, вероятно, были обменены или проданы на известных рынках даркнета в обмен на финансовую выгоду. В результате месяцы июль-сентябрь 2019 года наблюдались чрезвычайно мощные и спам-кампании против электронной почты πкоторые были зарегистрированы в различных доменах .gr. и кто никогда не получал ни малейшего спама по электронной почте. В основном речь шла о электронном письме, информирующем многих наших сограждан о том, что они взламывали и (ложно) делали фотографии или фотографии и просили их заплатить выкуп. Вот пример:

  • ЯНВАРЬ 2020

17 января турецкая команда хакерs называется "Анка Неферлер" она взяла на себя ответственность за DDoS-атаки, которые всплыли поздно вечером в четверг на сайтах правительства Греции. Twitter.

По первой информации, проблемы доступности есть οι веб-сайты Парламента, Министерства иностранных дел и Национальной разведывательной службы. Похоже, что были также проблемы на Афинской фондовой бирже и сайтах казначейства.

Правительственные источники подтвердили этот факт, заявив, что проблемные сайты сейчас работают нормально. Также были приняты меры для обеспечения их бесперебойной работы. веб-сайт и их будущее, защищающее от надвигающихся атак. Согласно источникам, никаких данных шпионажа не произошло.

Турецкие СМИ сообщили о том, что турецкие хакеры вторглись на сайты правительства Греции как достижение.

По совпадению или нет, те же самые сайты, которые стали жертвами DDoS-атаки, стали жертвами кампании по наблюдению за морскими черепахами несколько месяцев назад (в апреле 2019 года)?

НАПАДЕНИЯ НА МОРЕ Черепахи: ЖЕРТВЫ

Недавние жертвы кампании морских черепах также включали, Государственная разведывательная служба Албании, в соответствии с публичными записями онлайн. Государственная разведывательная служба Албании имела сотни имен пользователей и пароли украдено хакерами.

Албанская разведывательная служба соседней страны заявила, что нападения были на неклассифицированную инфраструктуру, которая не хранит и не обрабатывает информацию, классифицированную как «государственная тайна» любого уровня.

ИССЛЕДОВАНИЯ: Они провоцируют хакерские атаки на морских черепах. Идет кибервойна?

Η Кипр был также целью хакеров. Правительство Кипра недавно заявило, что «Власти сразу узнали о нападениях и смогли защитить себя. Мы не будем комментировать детали по соображениям национальной безопасности ». он добавил.

Атаки на Кипр, Греция, Албания и Сирия произошли в конце 2018 или начале 2019 года, согласно публичным источникам в интернете. По словам представителей службы в соответствующих странах, продолжаются более широкие атаки, а также исследования независимых исследователей. киберпространство

В Турции, с другой стороны, их жертвы упали взлом нападения на различные неправительственные организации, кто, по данным турецких СМИ, связанный с Фетхуллах Гюлен базируется в США и обвиняется в его организации неудачная попытка переворота в 2016 году.

Ο Фетхуллах Гюлен публично отрицал попытку переворота.

ЗАКЛЮЧЕНИЕ

Атаки кампании «Морская черепаха» скоро не закончатся. ΣСогласно опубликованным отчетам и перекрестным ссылкам независимых исследователей, происхождение хакеров происходит в соседней стране, Турции. Фактически это спонсируемые государством хакерские атаки, финансируемые государственными органами. Хакеры за этим, похоже, имеют хорошо продуманный план атаки с медленными и успешными шагами. Цели? Страны имеют большое значение для турецких хакеров, желающих пригласить их в глобальную кибервойну. Насколько готовы штаты впасть в битву? У них есть обученная кибератака?

Судя по информации, которую мы публикуем сегодня, греческие власти должны действовать немедленно. Существуют конкретные следы, которые могут привести к происхождению и личности преступников. в частности:

  • Зарегистрированные домены, которые они использовали для создания инфраструктуры хакерских атак, - это .com. Эти домены регистрируются и оплачиваются кредитной картой у провайдера имен Namecheap. Власти должны немедленно связаться с конкретным провайдером (следите за деньгами - кредитные карты, используемые для покупки доменов) и идентифицировать лиц, стоящих за этими платежами.
  • В дополнение к используемым IP-адресам существуют внешние провайдеры (например, Vultr, Bacloud и т. Д.), Которые снова принимают платежи по кредитным картам. Хакеры использовали этих провайдеров в качестве VPS для выполнения перенаправлений, которые они хотели
  • Используя специализированные инструменты (следы безопасности), можно определить, какие IP-адреса были использованы.
  • Примечательно, что суданский военный узел (военный генерал Команд Хартум) также использовался как промежуточный узел - 196.29.187.100

Все показывает, что на наши вопросы ответят очень скоро.

 Оставайтесь с нами на SecNews за разработки на тему и топы технические новости ток

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

SecNewshttps://www.secnews.gr
В мире без заборов и стен, которым нужны ворота и окна

ЖИВЫЕ НОВОСТИ

00: 01: 45

Илон Маск: 2-й самый богатый человек в мире. Победите Билла Гейтса!

Илон Маск, генеральный директор Tesla и соучредитель SpaceX, превзошел Билла Гейтса и стал вторым самым богатым человеком в ...

Sopra Steria: потеря 50 миллионов евро в результате атаки программ-вымогателей

Гигантская французская компания IT Sopra Steria заявила сегодня в официальном сообщении, что атака вымогателя Ryuk, которая была принята в октябре, будет ...

Интерпол: Трое членов хакерской группировки «TMT» арестованы в Нигерии!

Интерпол объявил, что трое нигерийцев, предположительно принадлежащих к хакерской группе, были арестованы вчера в Нигерии и, в частности, в столице ...

Mac: как отключить Favicons в Safari

Apple решила, что в Safari 14.0 и более поздних версиях он будет отображать значки на вкладках. Вам не нравится это ...

Android: Как включить темный режим

Темный режим - это функция в мобильных и настольных операционных системах, которая изменяет пользовательский интерфейс на темный фон. Многие...

Как отключить функцию «Meet Now» в Windows 10

Ранее в этом году Microsoft добавила Skype «Meet Now» в предварительные версии Windows 10 и ...

NCSC: исправление критической ошибки CVE-2020-15505 RCE на платформе MobileIron

Национальный центр кибербезопасности Соединенного Королевства (NCSC) вчера выступил с предупреждением, призвав все организации исправить критические ...

Впервые со времен средневековья, 1 декабря соединение Юпитер-Сатурн.

По словам астрономов, Юпитер и Сатурн выровняются так, как этого не делали со времен средневековья. Когда...

Атаки программ-вымогателей увеличили доходы Коалиции

Атаки программ-вымогателей, которые шифруют компьютерные файлы и требуют выкуп за их расшифровку, резко увеличили ...

Новая версия вредоносного ПО Stantinko выглядит как веб-сервер Apache

Stantinko, один из старейших вредоносных ботнетов, обновил свое вредоносное ПО для Linux, обновив свой троян, чтобы он выглядел как ...