Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Группировка Sea Turtle атаковала организацию, управляющую греческими доменами верхнего уровня

10/07/19

Sea Turtle-1Киберпреступная группировка Sea Turtle атаковала организацию ICS-Forth, управляющую греческими доменами верхнего уровня .gr и .el.

О группировке Sea Turtle специалисты Cisco Talos впервые рассказали в апреле нынешнего года. Злоумышленники используют весьма необычную технику взлома – вместо того, чтобы атаковать непосредственно жертву, они получают доступ к учетным записям регистратора домена и провайдеров управляемого DNS и меняют настройки DNS компании.

Путем модификации записей DNS внутренних серверов злоумышленники перенаправляют трафик, предназначенный для легитимных приложений и почтовых серверов компании, на подконтрольные им серверы, осуществляют атаку «человек посередине» и перехватывают учетные данные.

Вышеописанные атаки являются непродолжительными (длятся от нескольких часов до нескольких дней) и незаметными (большинство компаний не проверяют настройки DNS на предмет изменений). По данным FireEye, группировка действует в интересах правительства Ирана.

Для того чтобы добраться до жертвы, Sea Turtle не гнушается взламывать сети провайдера целиком. Как сообщалось в первом отчете Cisco Talos, группировка взломала шведскую организацию NetNod, управляющую точкой обмена трафиком. Атака позволила злоумышленникам манипулировать записями DNS для sa1[.]dnsnode[.]net и получить доступ к учетным данным администратора доменов верхнего уровня Саудовской Аравии (.sa)

В новом отчете Cisco Talos сообщает об аналогичной атаке на греческую организацию ICS-Forth. На данный момент исследователи затрудняются сказать, что атакующие делали в сетях ICS-Forth после взлома. Неизвестно также, для каких доменов злоумышленники поменяли настройки DNS. После того, как организация уведомила общественность о взломе, Sea Turtle оставалась в ее сетях еще пять дней.

Темы:ЕвропаПреступленияFireEyeDNSИранCisco TalosSea Turtle
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...