Celosvětový hackerský problém využívá DNS Trickery k datům Nab Data


Íránští hackeři byli v poslední době zaneprázdněni a rozšiřovali řadu cílených útoků na Blízký východ a do zahraničí. A tento týden zprávě od zpravodajské firmy FireEye o hrozbách podrobně vyplývá masivní celosvětová kampaň zachycující data, která se uskutečnila během posledních dvou let, a to předběžně s Íránem.

Pomocí klasické taktiky, která podkopává bezpečnost dat při pohybu po webu, hackeři chytili citlivá data, jako jsou přihlašovací údaje a obchodní údaje od telekomunikací, poskytovatelů internetových služeb, vládních organizací a dalších institucí na Blízkém východě, v severní Africe, v Evropě a Severní Amerika. Výzkumní pracovníci společnosti FireEye tvrdí, že cíle a typy odcizených dat jsou v souladu s íránskými vládními špionážními zájmy – a že ten, kdo je za masivním útokem, má nyní množství údajů, které by mohly léčit budoucí kybernetické útoky.

"Je to v souladu s tím, co jsme předtím viděli v Íránu, a ukazují tam znamení, ale jen jsme to chtěli vynechat, protože to ovlivňuje desítky subjektů," říká Ben Read, senior manažer pro analýzu kybernetických útoků v FireEye. "Poslední z toho jsme neviděli."

Aby bylo možné vypustit tolik citlivých dat z desítek cílů, útočníci používali varianty techniky známé jako únos DNS. Tato metoda využívá slabostí v základních protokolech, které podporují internet, aby přesměrovaly údaje do rukou útočníků.

"Iránci neprocházejí tímto množstvím práce jen kvůli tomu, že se o to baví."

Dave Aitel, Cyxtera

Při načtení webových stránek do prohlížeče nebo použití webové služby získáte správný obsah z pravého webového serveru kvůli procesu za zákulisí systému "Domain Name System". V podstatě internetová verze vyhledávání telefonních seznamů, servery DNS odhalují cestu, kterou musí prohlížeč nebo služba potřebovat ke spojení se zamýšleným cílem.

Přemýšlejte o tom takto: Pokud změníte jiné čísla v telefonním seznamu na vlastní pěst nebo manipulujete s infrastrukturou, takže na vaší lince zazvoní spousta dalších čísel, můžete poslouchat všechny druhy hovorů bez vašich cílů a nutně si uvědomit, že je něco špatně.

V případě masivního únosu DNS, který FireEye zjistil, hackeři manipulovali s DNS záznamy od ledna 2017, aby zachytili e-mailová data, uživatelská jména, hesla a podrobnosti o webových doménách organizací.

Samotná technika není nová; útočníci využívají únos DNS po celá léta a vědecká komunita v oblasti bezpečnosti věděla, že je to možné po celá desetiletí. Společnost FireEye's Read však poukazuje na to, že tento přístup se v poslední době stal ještě oblíbenějším, neboť povědomí o potřebě ochrany proti kybernetickému zabezpečení se zvětšilo a instituce učinily pokrok, který zablokoval jejich sítě. Únos služby DNS je poměrně snadný způsob, jak stále získat přístup k interním datům, aniž byste se museli skutečně dostat do systémů organizace.

"To, co říkají, jsou informace," říká Read. "Nezajímá se, odkud se to podaří."

Íránští hackeři za posledních pět let neustále rozšiřovali své operace digitálního zpravodajství a zaměřili se na vše od vládních informací po duševní vlastnictví a data z výzkumných univerzit. Často používají v těchto kampaních rafinované útoky proti kopírování, aby získaly pověření a pronikly do sítí. Ale pokud to není možné nebo nefunguje, únos DNS může zaplnit mezeru a poskytnout obsáhlejší pověření.

K ochraně před únosem DNS společnost FireEye navrhuje, aby organizace sledovaly certifikáty poštovních serverů a kontrolovaly, kde jejich domény skutečně směřují, aby pomohly chytat chování. "Znamená to, že nikdo nedokáže sledovat, kdy se změna změní," říká Dave Aitel, bývalý badatel NSA, který je nyní hlavním bezpečnostním technikem v bezpečnostní firmě Cyxtera. A i když útočníci těmito otevřenými dveřmi využívají všude tam, kde je to možné, práce, kterou dávají do finisace cílených útoků, stále naznačuje hodnotu dat, která z nich vycházejí. "Íránci neprocházejí tímto množstvím práce jen proto, aby se o to bavili," říká Aitel.

Další výzkumné skupiny zaměřené na bezpečnost informačních systémů, včetně Cisco Talos, již dříve detekovaly různé složky škodlivé kampaně. A FireEye zdůrazňuje, že kampaně týkající se únosů DNS jsou obtížně zpracovány, protože může být obtížné zjistit, jak útočníci byli schopni manipulovat s určitými záznamy DNS a rozsahy ohrožených dat.

Ještě víc důvodem, proč by tento hackerský výtrž mohl být předkem mnoha budoucích útoků.

"Dokonce jsme nezjistili celý rozsah této konkrétní kampaně," říká Read. "Dokonce i po zveřejnění příspěvku na blogu jsme našli nové domény, které od té doby zřejmě byly uneseny."


Více skvělých příběhů WIRED