Forskare vid Ciscos Talos Cybersecurity Unit har upptäckt en ny grupp hackare som har attackerat 40 statliga jättar och underrättelsetjänster, telekommunikationer och internettjänster i 13 länder i mer än två år. Denna nya kampanj har dock vissa likheter med DNSpionage, som omdirigerar användare till legitima webbplatser. För att tillåta dem att stjäla dina lösenord bedömde forskarna med stor tillförsikt att kampanjen "Sea Turtle" var en ny, separat operation. Sea Turtle riktar sig mot företag genom att kapa deras DNS som pekar ett måls domännamn till skadliga nätverk. Webbplatsförfalskningstekniken som används av hackarna bakom kampanjen utnyttjar långvariga DNS-sårbarheter som kan användas för att låta intet ont anande offer tillskriva sin identitetsinformation till falska inloggningssidor. Havssköldpaddor Havsattacker Sköldpaddor arbetar först genom att engagera ett mål med hjälp av harpunen för att etablera fotfäste i deras nät. Kända sårbarheter används för att rikta in sig på servrar och routrar för att röra sig i sidled inom företagets nätverk för att få nätverksspecifika lösenord. Denna identifierande information används för att peka på en organisations DNS-registerskrivbord genom att uppdatera dess register så att dess domännamn pekar på dess IP-adress och en server. Styrs av pirater. Hackare använder sedan en avlyssningsoperation för att låna identiteten från inloggningssidorna och få ytterligare referenser för att flytta den till ett företags nätverk. Genom att använda sitt eget HTTPS-certifikat för måldomänen kan angripare ge ett autentiskt intryck till en skadlig server. Enligt Talos använde hackare denna teknik för att äventyra den svenska DNS-leverantören Netnod, samt en av de 13 rotservrarna som driver den globala servern. DNS-infrastruktur. Hackare kunde också komma åt registerkontoret som hanterar armeniska toppdomäner med en liknande taktik. Även om Talos inte avslöjade vilken stat som ligger bakom gruppen, säger dess forskare att sköldpaddan är "mycket kapabel". tillhandahöll begränsningsinstruktioner i ett blogginlägg, där det stod att "Talos föreslår att du använder en logglåsningstjänst, som kommer att kräva ett meddelande utanför bandet innan ändringar kan göras i det." DNS-post för ett företag. Om din registrar inte erbjuder en registerlåstjänst rekommenderar vi att du implementerar multifaktorautentisering, såsom DUO, för att komma åt ditt företags DNS-poster. Om du tror att du har varit utsatt för denna typ av intrångsaktivitet rekommenderar vi att du upprättar en nätverksomfattande lösenordsåterställning, helst från nätverket. en dator i ett godkänt nätverk Slutligen rekommenderar vi att du applicerar patchar, särskilt på datorer som är anslutna till Internet. Nätverksadministratörer kan övervaka passiva DNS-poster på sina domäner för att upptäcka avvikelser.