Un groupe de piratage s'est attaqué aux domaines du gouvernement - ils ont ciblé 40 agences gouvernementales et de renseignement, des géants des télécoms et de l'internet dans 13 pays depuis plus de deux ans, lesdits rapports. C'est une nouveauté, équipe sophistiquée de hackers espionnant des dizaines de cibles, mentionné Filaire .

"Il s'agit d'un nouveau groupe qui fonctionne d'une manière relativement unique que nous n'avons jamais vue auparavant, en utilisant de nouvelles tactiques, technique, et procédures, " Craig Williams, réalisateur, sensibilisation chez Cisco Talos, Raconté TechCrunch .

Les chercheurs ont identifié la campagne et l'ont surnommée « Tortue de mer ». Ils font partie de l'unité de cybersécurité Talos de Cisco. Zack Whittaker, éditeur de sécurité chez TechCrunch , a développé les découvertes :l'unité "a tiré la sonnette d'alarme après avoir découvert un groupe de pirates informatiques auparavant inconnu ciblant une partie essentielle de l'infrastructure d'Internet".

Fonctionnement de Sea Turtle :il cible les entreprises en détournant leur DNS, en pointant le nom de domaine d'une cible vers un serveur malveillant au lieu de sa cible, dit Anthony Spadafora, TechRadar.

Ars Technica développé sur l'explication de ce qui se passe:

Dan Goodin a écrit, « les attaquants modifient d'abord les paramètres DNS pour les bureaux d'enregistrement DNS ciblés, entreprises de télécommunications, et les FAI—des entreprises comme Cafax et Netnod. Les attaquants utilisent ensuite leur contrôle sur ces services pour attaquer les cibles principales qui utilisent les services."

Réellement, l'exploit exploitait des failles connues de longue date dans le DNS, dit Spadafora, et ces failles peuvent être utilisées "pour amener des victimes sans méfiance à imputer leurs informations d'identification sur de fausses pages de connexion".

Il a déclaré qu'« en utilisant leur propre certificat HTTPS pour le domaine de la cible, les attaquants peuvent donner l'impression qu'un serveur malveillant est authentique."

Selon Talos, les pirates ont compromis le fournisseur DNS suédois Netnod. L'équipe de Talos a écrit sur son blog que " Dans un autre cas, les attaquants ont réussi à compromettre NetNod, un organisme sans but lucratif, organisation indépendante d'infrastructure Internet basée en Suède." Ars Technica ledit Netnod est également l'opérateur de i.root, l'un des 13 serveurs racine DNS fondamentaux d'Internet.

Selon Talos, les pirates ont utilisé cette technique pour compromettre le fournisseur DNS suédois Netnod ainsi que l'un des 13 serveurs racine qui alimentent l'infrastructure DNS mondiale.

C'était un groupe de hackers "très avancé", et « probablement » soutenu par un État-nation.

L'équipe Talos a publié un blog le 17 avril avec une note d'inquiétude sur ce qui pourrait arriver :

"Bien que cet incident se limite à cibler principalement les organisations de sécurité nationale au Moyen-Orient et en Afrique du Nord, et nous ne voulons pas exagérer les conséquences de cette campagne spécifique, nous craignons que le succès de cette opération ne conduise des acteurs à attaquer plus largement le système DNS mondial."

Goodin a noté, pendant ce temps, que "L'une des choses qui rend Sea Turtle plus mature est son utilisation d'une constellation d'exploits qui permettent collectivement à ses opérateurs d'obtenir un accès initial ou de se déplacer latéralement au sein du réseau d'une organisation ciblée."

Qu'est-ce que Talos a recommandé comme stratégie d'atténuation ?

Talos a suggéré d'utiliser un service de verrouillage du registre, d'exiger un message hors bande avant que des modifications puissent être apportées à l'enregistrement DNS d'une organisation.

Si votre bureau d'enregistrement n'offre pas de service de verrouillage du registre, Talos a recommandé l'authentification multifacteur, par exemple., DUO, pour accéder aux enregistrements DNS de l'organisation.

"Si vous pensez avoir été la cible de ce type d'intrusion d'activités, nous vous recommandons d'instituer une réinitialisation de mot de passe à l'échelle du réseau, de préférence à partir d'un ordinateur sur un réseau de confiance. Dernièrement, nous vous recommandons d'appliquer des patchs, en particulier sur les machines connectées à Internet. Les administrateurs réseau peuvent surveiller les enregistrements DNS passifs sur leurs domaines, pour vérifier les anomalies."

© 2019 Réseau Science X