ICS Forth περισσότερα για το hack των Ελληνικών domains gr & ελ

Πριν από καιρό αναφέραμε ότι hackers παραβίασαν την ICS-Forth. Πρόκειται για την εταιρεία που διαχειρίζεται τα top-level της  Ελλάδας δηλαδή τα γνωστά μας .gr και .el. Σύμφωνα με τις τελευταίες πληροφορίες από ερευνητές που ασχολούνται με την υπόθεση, οι hackers υποστηρίζονται από κάποιο κράτος,

Η ICS Forth, που αντιπροσωπεύει το Ινστιτούτο Πληροφορικής του Ιδρύματος Τεχνολογίας και Έρευνας, παραδέχτηκε δημόσια το περιστατικό ασφαλείας σε μηνύματα ηλεκτρονικού ταχυδρομείου που απέστειλε σε ιδιοκτήτες των domains στις 19 Απριλίου.

Οι hackers πίσω από την παραβίαση είναι η ίδια ομάδα που αναφέρθηκε σε μια δημοσίευση της Talos τον Απρίλιο, και η οποία ονομάστηκε Sea Turtle.

Η ομάδα χρησιμοποιεί μια σχετικά νέα προσέγγιση για την παραβίαση των στόχων. Αντί να απευθύνονται άμεσα στα θύματα, παραβιάζουν ή αποκτούν πρόσβαση σε λογαριασμούς καταχωρητών domains και έτσι μπορούν να διαχειρίζονται τους DNS όπου πραγματοποιούν τροποποιήσεις στις ρυθμίσεις.

Με την τροποποίηση των DNS στους εσωτερικούς διακομιστές, ανακατευθύνουν την κίνηση από τις νόμιμες εφαρμογές μιας εταιρείας ή τις υπηρεσίες ηλεκτρονικού ταχυδρομείου για να πραγματοποιήσουν επιθέσεις man-in-the-middle και να συλλέξουν τα διαπιστευτήρια σύνδεσης.

ICS Forth
Image: Cisco Talos

Οι επιθέσεις είναι βραχείας διάρκειας, αφού διαρκούν από ώρες έως και μέρες. Έτσι είναι εξαιρετικά δύσκολο να εντοπιστούν καθώς οι περισσότερες εταιρείες δεν παρακολουθούν τις αλλαγές στις ρυθμίσεις των DNS.

  Πως να διορθώσετε την άρνηση σύνδεσης στο MyHealth

Οι εκθέσεις για τις δραστηριότητες αυτής της ομάδας έχουν δημοσιευθεί κατά καιρούς από τις ομάδες ασφαλείας FireEye, Crowdstrike, και Cisco Talos.. Η FireEye απέδωσε τις επιθέσεις στην κυβέρνηση του Ιράν, ενώ η και η Cisco Talos απέφυγαν να κάνουν οποιαδήποτε σύνδεση κυβερνήσεων με τις επιθέσεις, (μέχρι τώρα). Οι Αμερικάνικες υπηρεσίες US DHS και UK NCSC εξέδωσαν επίσης ειδοποιήσεις ασφαλείας για τις νέες στρατηγικές της ομάδας.

Από τις παραπάνω αναφορές φαίνεται ότι ομάδα Sea Turtle παραβιάζει συνήθως λογαριασμούς σε καταχωρητές domain και παρόχους DNS, επιλέγοντας μετά την παραβίαση λογαριασμούς που ανήκουν στους στόχους τους.

Στην πρώτη της δημοσίευση, η ομάδα της Cisco Talos ανέφερε ότι η ομάδα Sea Turtle κατέστρεψε το NetNod, έναν κόμβο ανταλλαγής δεδομένων που βρίσκεται στη Σουηδία, ο οποίος μεταξύ άλλων προσέφερε υπηρεσίες DNS για οργανώσεις ccTLD – όπως το Ελληνικό ICS-Forth.

Η επίθεση στο ICS-Forth εξακολουθεί να περιβάλλεται από μυστήριο

Τώρα, σε μια σημερινή δημοσίευση, οι ερευνητές του Talos δήλωσαν ότι οι hackers Sea Trutle δεν έφυγαν γρήγορα από το ICS-Forth.

  12 Ιουλίου θα δούμε το σύμπαν όπως ποτέ πριν

Η ερευνητές της Talos δεν διαθέτουν λεπτομέρειες για το τι έκαναν οι hackers στο δίκτυο της ICS Forth αφού απέκτησαν πρόσβαση στα συστήματά της. Έτσι κανείς δεν γνωρίζει ποια domains επηρεάστηκαν με αλλαγές στις ρυθμίσεις των DNS.

Όμως οι ερευνητές της Talos ανέφεραν όμως ότι οι hackers διατήρησαν πρόσβαση για άλλες πέντε ημέρες μετά την ανακοίνωση του περιστατικού από την ICS Forth.

Να αναφέρουμε ότι η επίθεση στην ICS-Forth δεν ήταν η μόνη από την Sea Turtle. Η Talos ανέφερε ότι εντόπισαν επίσης νέα θύματα σε χώρες όπως το Σουδάν, την Ελβετία και τις ΗΠΑ.

Αυτοί οι στόχοι – των οποίων οι ρυθμίσεις DNS τροποποιήθηκαν, για να μπορούν να παρεμποδίσουν οι hackers την κίνηση και να συλλέξουν τα διαπιστευτήρια των χρηστών, είναι κυβερνητικές οργανώσεις, εταιρείες ενέργειας, tanks, διεθνείς μη κυβερνητικές οργανώσεις και τουλάχιστον ένας αερολιμένας.

_______________

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


44  +    =  45