Forscher der Talos Cybersecurity Unit von Cisco haben eine neue Gruppe von Hackern aufgedeckt, die seit mehr als zwei Jahren 40 riesige Regierungs-, Geheimdienst-, Telekommunikations- und Internetdienste in 13 Ländern angreift. Diese neue Kampagne weist jedoch einige Ähnlichkeiten mit DNSpionage auf, das Benutzer auf legitime Websites umleitet. Um ihnen den Diebstahl Ihrer Passwörter zu ermöglichen, kamen die Forscher mit großer Sicherheit zu dem Schluss, dass es sich bei der „Sea Turtle“-Kampagne um eine separate neue Operation handelte. Sea Turtle nimmt Unternehmen ins Visier, indem es deren DNS kapert, indem es den Domänennamen eines Ziels auf bösartige Netzwerke weiterleitet. Die von den Hackern hinter der Kampagne verwendete Spoofing-Technik nutzt seit langem bestehende DNS-Schwachstellen aus, die von ahnungslosen Opfern genutzt werden können, um ihre Identitätsinformationen gefälschten Anmeldeseiten zu unterstellen. Meeresschildkröten Meeresangriffe Schildkröten greifen zunächst ein Ziel an, indem sie die Harpune verwenden, um einen Fuß in ihr Netz zu setzen. Bekannte Schwachstellen werden genutzt, um Server und Router gezielt seitlich im Unternehmensnetzwerk zu bewegen und an netzwerkspezifische Passwörter zu gelangen. Diese identifizierenden Informationen werden verwendet, um auf den DNS-Registrierungsschalter einer Organisation zu verweisen, wenn ihre Einträge aktualisiert werden, sodass ihr Domänenname auf ihre IP-Adresse und einen Server verweist. Von Piraten kontrolliert. Die Hacker nutzen dann eine Abfangaktion, um die Identität von den Anmeldeseiten zu entleihen und zusätzliche Zugangsdaten zu erhalten, um Sie in ein Unternehmensnetzwerk zu leiten. Durch die Verwendung eines eigenen HTTPS-Zertifikats für die Zieldomäne können Angreifer den authentischen Eindruck eines bösartigen Servers erwecken. Laut Talos nutzten die Hacker diese Technik, um den schwedischen DNS-Anbieter Netnod sowie einen der 13 Root-Server zu kompromittieren, die den globalen Server betreiben. DNS-Infrastruktur. Mit einer ähnlichen Taktik konnten sich Hacker auch Zugriff auf die Registrierungsstelle verschaffen, die armenische Top-Level-Domains verwaltet. Obwohl Talos nicht verriet, welcher Staat hinter der Gruppe steckt, sagen die Forscher, dass die Schildkröte „sehr leistungsfähig“ sei. In einem Blogbeitrag gab es Anweisungen zur Schadensbegrenzung, in denen es hieß: „Talos schlägt die Verwendung eines Dienstes zum Sperren von Datensätzen vor, der eine Out-of-Band-Nachricht erfordert, bevor Änderungen daran vorgenommen werden können.“ DNS-Eintrag eines Unternehmens. Wenn Ihr Registrar keinen Datensatzsperrdienst anbietet, empfehlen wir Ihnen, eine Multi-Faktor-Authentifizierung wie DUO zu implementieren, um auf die DNS-Einträge Ihres Unternehmens zuzugreifen. Wenn Sie glauben, Opfer dieser Art von Hackerangriffen geworden zu sein, empfehlen wir Ihnen, ein Passwort-Reset auf Netzwerkebene einzurichten, vorzugsweise innerhalb des Netzwerks. einem Computer in einem zugelassenen Netzwerk. Schließlich empfehlen wir Ihnen, Patches anzuwenden, insbesondere auf Computern, die mit dem Internet verbunden sind. Netzwerkadministratoren können passive DNS-Einträge in ihren Domänen auf Anomalien überwachen.