Πριν από καιρό αναφέραμε ότι hackers παραβίασαν την ICS-Forth. Πρόκειται για την εταιρεία που διαχειρίζεται τα top-level domains της Ελλάδας δηλαδή τα γνωστά μας .gr και .el. Σύμφωνα με τις τελευταίες πληροφορίες από ερευνητές που ασχολούνται με την υπόθεση, οι hackers υποστηρίζονται από κάποιο κράτος,
Η ICS Forth, που αντιπροσωπεύει το Ινστιτούτο Πληροφορικής του Ιδρύματος Τεχνολογίας και Έρευνας, παραδέχτηκε δημόσια το περιστατικό ασφαλείας σε μηνύματα ηλεκτρονικού ταχυδρομείου που απέστειλε σε ιδιοκτήτες των domains στις 19 Απριλίου.
Οι hackers πίσω από την παραβίαση είναι η ίδια ομάδα που αναφέρθηκε σε μια δημοσίευση της Cisco Talos τον Απρίλιο, και η οποία ονομάστηκε Sea Turtle.
Η ομάδα χρησιμοποιεί μια σχετικά νέα προσέγγιση για την παραβίαση των στόχων. Αντί να απευθύνονται άμεσα στα θύματα, παραβιάζουν ή αποκτούν πρόσβαση σε λογαριασμούς καταχωρητών domains και έτσι μπορούν να διαχειρίζονται τους DNS όπου πραγματοποιούν τροποποιήσεις στις ρυθμίσεις.
Με την τροποποίηση των DNS στους εσωτερικούς διακομιστές, ανακατευθύνουν την κίνηση από τις νόμιμες εφαρμογές μιας εταιρείας ή τις υπηρεσίες ηλεκτρονικού ταχυδρομείου για να πραγματοποιήσουν επιθέσεις man-in-the-middle και να συλλέξουν τα διαπιστευτήρια σύνδεσης.
Οι επιθέσεις είναι βραχείας διάρκειας, αφού διαρκούν από ώρες έως και μέρες. Έτσι είναι εξαιρετικά δύσκολο να εντοπιστούν καθώς οι περισσότερες εταιρείες δεν παρακολουθούν τις αλλαγές στις ρυθμίσεις των DNS.
Οι εκθέσεις για τις δραστηριότητες αυτής της ομάδας έχουν δημοσιευθεί κατά καιρούς από τις ομάδες ασφαλείας FireEye, Crowdstrike, και Cisco Talos.. Η FireEye απέδωσε τις επιθέσεις στην κυβέρνηση του Ιράν, ενώ η Crowdstrike και η Cisco Talos απέφυγαν να κάνουν οποιαδήποτε σύνδεση κυβερνήσεων με τις επιθέσεις, (μέχρι τώρα). Οι Αμερικάνικες υπηρεσίες US DHS και UK NCSC εξέδωσαν επίσης ειδοποιήσεις ασφαλείας για τις νέες στρατηγικές της ομάδας.
Από τις παραπάνω αναφορές φαίνεται ότι ομάδα Sea Turtle παραβιάζει συνήθως λογαριασμούς σε καταχωρητές domain και παρόχους DNS, επιλέγοντας μετά την παραβίαση λογαριασμούς που ανήκουν στους στόχους τους.
Στην πρώτη της δημοσίευση, η ομάδα της Cisco Talos ανέφερε ότι η ομάδα Sea Turtle κατέστρεψε το NetNod, έναν κόμβο ανταλλαγής δεδομένων που βρίσκεται στη Σουηδία, ο οποίος μεταξύ άλλων προσέφερε υπηρεσίες DNS για οργανώσεις ccTLD – όπως το Ελληνικό ICS-Forth.
Η επίθεση στο ICS-Forth εξακολουθεί να περιβάλλεται από μυστήριο
Τώρα, σε μια σημερινή δημοσίευση, οι ερευνητές του Talos δήλωσαν ότι οι hackers Sea Trutle δεν έφυγαν γρήγορα από το ICS-Forth.
Η ερευνητές της Talos δεν διαθέτουν λεπτομέρειες για το τι έκαναν οι hackers στο δίκτυο της ICS Forth αφού απέκτησαν πρόσβαση στα συστήματά της. Έτσι κανείς δεν γνωρίζει ποια domains επηρεάστηκαν με αλλαγές στις ρυθμίσεις των DNS.
Όμως οι ερευνητές της Talos ανέφεραν όμως ότι οι hackers διατήρησαν πρόσβαση για άλλες πέντε ημέρες μετά την ανακοίνωση του περιστατικού από την ICS Forth.
Να αναφέρουμε ότι η επίθεση στην ICS-Forth δεν ήταν η μόνη από την Sea Turtle. Η Talos ανέφερε ότι εντόπισαν επίσης νέα θύματα σε χώρες όπως το Σουδάν, την Ελβετία και τις ΗΠΑ.
Αυτοί οι στόχοι – των οποίων οι ρυθμίσεις DNS τροποποιήθηκαν, για να μπορούν να παρεμποδίσουν οι hackers την κίνηση και να συλλέξουν τα διαπιστευτήρια των χρηστών, είναι κυβερνητικές οργανώσεις, εταιρείες ενέργειας, think tanks, διεθνείς μη κυβερνητικές οργανώσεις και τουλάχιστον ένας αερολιμένας.
_______________
- Dropbox Transfer για μεταφορές δεδομένων μέχρι 100GB
- Firefox 68 ESR Extended Support Release για όλους
- LanguageTool δωρεάν γραμματικός και ορθογραφικός έλεγχος