En hackergrupp har gått efter regeringens domäner - de riktade sig mot 40 regerings- och underrättelsetjänster, telekom och internetjättar i 13 länder i mer än två år, sade rapporter. Detta är en ny, sofistikerat team av hackare som spionerar på dussintals mål, sa Trådbunden .

"Det här är en ny grupp som verkar på ett relativt unikt sätt som vi inte har sett tidigare, använder ny taktik, tekniker, och procedurer, "Craig Williams, direktör, uppsökande på Cisco Talos, berättade TechCrunch .

Forskare identifierade kampanjen och kallade den "Sea Turtle". De är på Ciscos enhet för cybersäkerhet i Talos. Zack Whittaker, säkerhetsredaktör på TechCrunch , utvidgade upptäckterna:enheten "larmade efter att ha upptäckt en tidigare oupptäckt hackergrupp riktad mot en kärndel av internetets infrastruktur."

Hur Sea Turtle fungerar:Den riktar sig till företag genom att kapa deras DNS - peka ett mål domännamn till en skadlig server istället för till det avsedda målet, sa Anthony Spadafora, TechRadar.

Ars Technica utökat med att förklara vad som händer:

Dan Goodin skrev, "angriparna ändrar först DNS -inställningar för riktade DNS -registratorer, telekomföretag, och internetleverantörer - företag som Cafax och Netnod. Angriparna använder sedan sin kontroll över dessa tjänster för att attackera primära mål som använder tjänsterna. "

Faktiskt, utnyttjandet utnyttjade några kända brister i DNS, sa Spadafora, och dessa brister kan användas "för att lura intet ont anande offer till att tillskriva sina uppgifter på falska inloggningssidor."

Han sa att "Genom att använda sitt eget HTTPS -certifikat för målets domän, angriparna kan få en skadlig server att framstå som äkta. "

Enligt Talos, hackarna äventyrade den svenska DNS -leverantören Netnod. Talos -teamet bloggade att "I ett annat fall, angriparna kunde äventyra NetNod, en ideell, oberoende internetinfrastrukturorganisation baserad i Sverige. " Ars Technica sade Netnod är också operatör för i.root, en av Internetets grundläggande 13 DNS -rotserver.

Enligt Talos, hackarna använde denna teknik för att kompromissa med den svenska DNS -leverantören Netnod samt en av de 13 rotservrarna som driver den globala DNS -infrastrukturen.

Detta var en "mycket avancerad" hackergrupp, och "sannolikt" med stöd av en nationalstat.

Talos -teamet lade upp en blogg den 17 april med en oro om vad som kan komma:

"Även om denna incident endast är inriktad på nationella säkerhetsorganisationer i Mellanöstern och Nordafrika, och vi vill inte överskatta konsekvenserna av denna specifika kampanj, Vi är oroliga för att framgången med denna operation kommer att leda till att aktörer mer brett attackerar det globala DNS -systemet. "

Goodin noterade, under tiden, att "En av de saker som gör havssköldpaddan mer mogen är användningen av en konstellation av bedrifter som kollektivt tillåter operatörerna att få initial tillgång eller att röra sig i sidled inom nätverket för en riktad organisation."

Vad har Talos rekommenderat som en mildrande strategi?

Talos föreslog att man skulle använda en registerlåstjänst, att kräva ett out-of-band-meddelande innan några ändringar kan ske i en organisations DNS-post.

Om din registrator inte erbjuder en registerlåstjänst, Talos rekommenderade multifaktorautentisering, t.ex., DUO, för att komma åt organisationens DNS -poster.

"Om du misstänker att du var inriktad på denna typ av aktivitetsintrång, vi rekommenderar att du inrättar en nätverksövergripande lösenordsåterställning, helst från en dator i ett pålitligt nätverk. Slutligen, vi rekommenderar att du applicerar patchar, särskilt på internet-vända maskiner. Nätverksadministratörer kan övervaka passiv DNS -post på sina domäner, för att kontrollera om det finns avvikelser. "

© 2019 Science X Network