En Worldwide Hacking Spree bruker DNS Trickery til Nab Data


Iranske hackere har vært opptatt i det siste, og rammet opp en rekke målrettede angrep over hele Midtøsten og i utlandet. Og en rapport denne uken fra hot intelligence firmaet FireEye detaljer en massiv global data-snatching kampanje, utført i løpet av de siste to årene, at firmaet har foreløpig knyttet til Iran.

Ved å bruke en klassisk taktikk for å undergrave datasikkerhet når den beveger seg over nettet, har hackere fanget sensitive data som påloggingsinformasjon og forretningsinformasjon fra telekom, internettleverandører, offentlige organisasjoner og andre institusjoner i Midtøsten, Nord-Afrika, Europa og Nord Amerika. FireEye forskere sier at målene og typer data som er stjålet er i samsvar med iranske regjeringsspionasjeinteresser – og at den som står bak det massive angrepet, nå har en trove av data som kan brenne fremtidige cyberangrep i mange år.

"Det er konsistent med det vi har sett Iran gjør før, og skiltene peker der, men vi ville bare få det ut fordi det påvirker dusinvis av enheter," sier Ben Read, senioransvarlig for cyberspionasjeanalyse ved FireEye. "Vi har ikke sett det siste av dette."

For å avta så mye sensitive data fra dusinvis av mål har angriperne brukt variasjoner på teknikken kjent som DNS-kapring. Denne metoden utnytter svakheter i grunnprotokollene som støtter internett for å avlede data i hendene på angriperne.

"Iranerne går ikke gjennom denne mengden arbeid bare for moro skyld."

Dave Aitel, Cyxtera

Når du laster inn et nettsted i en nettleser eller bruker en webtjeneste, mottar du det riktige innholdet fra den riktige webserveren på grunn av en bakprosessprosess med "Domain Name System" -kontrollene. I hovedsak Internett-versjonen av telefonbokoppslag, avslører DNS-servere banen som en nettleser eller tjeneste må ta for å koble til den planlagte destinasjonen.

Tenk på det på denne måten: Hvis du endrer andre numre i telefonboken til din egen, eller manipulerer infrastruktur slik at en rekke andre numre også ringer på linjen, kan du lytte inn på alle slags samtaler uten at målene dine nødvendigvis innser at alt er feil.

I tilfelle av den massive DNS-hijacking-spree FireEye funnet, har hackere manipulert DNS-poster siden januar 2017 for å fange opp e-postdata, brukernavn, passord og detaljer om organisasjoners webdomener.

Teknikken i seg selv er ikke roman; angriperne har utnyttet DNS-kapring i mange år, og sikkerhetsforskningsamfunnet har kjent om muligheten for det i flere tiår. Men FireEye's Read påpeker at tilnærmingen har blitt enda mer populær nylig fordi bevissthet om behovet for cybersikkerhetsforsvar har vokst og institusjoner har gjort fremskritt som låser nettverkene sine. DNS-kapring er en relativt enkel måte å fortsatt få tilgang til interne data uten å måtte faktisk komme inn i organisasjonens systemer.

"Hva de er etter, er informasjonen," sier det. "De bryr seg ikke helt hvor de får det fra."

Iranske hackere har jevnlig rammet opp sine digitale intelligenssamlingsoperasjoner de siste fem årene, og målrettet alt fra regjeringsinformasjon til intellektuell eiendom og data fra forskningsuniversiteter. De bruker ofte raffinerte spyd phishing-angrep i disse kampanjene for å få tak i legitimasjon og penetrere nettverk. Men når det ikke er mulig eller ikke virker, kan DNS-kapring fylle ut hull og gi mer dunkle legitimasjon.

For å beskytte mot et DNS-kapringangrep, foreslår FireEye at organisasjoner skal overvåke e-postserver-sertifikater og kontrollere hvor deres domener virkelig peker på å få tak i fishy atferd. "Det innebærer at ingen holder styr på når certs forandrer seg," sier Dave Aitel, en tidligere NSA-forsker, som nå er sjefs sikkerhetsteknologsjef hos det sikre infrastrukturfirmaet Cyxtera, om funnene. Og selv om angripere utnytter disse åpne dørene, uansett hvor de kan, legger arbeidet de legger til finesser med målrettede angrep, frem til verdien av dataene som kommer ut av dem. "Iranerne går ikke gjennom denne mengden arbeid bare for moro skyld, sier Aitel.

Andre trusselforskningsgrupper, inkludert Cisco Talos, har tidligere oppdaget ulike komponenter i den ondsinnede kampanjen. Og FireEye understreker at DNS-kapringkampanjer er vanskelig å få tak i, fordi det kan være vanskelig å fortelle hvordan angriperne kunne manipulere bestemte DNS-poster og omfanget av dataene som ble kompromittert.

Jo mer grunnen til at denne hacking-spreeen kunne være forfederen til mange fremtidige angrep.

"Vi har ikke en gang oppdaget det fulde omfanget av denne spesifikke kampanjen, sier Read. "Selv etter at vi publiserte vårt blogginnlegg, fant vi nye domener som tilsynelatende hadde blitt kapret siden."


Flere flotte WIRED-historier