Меню
Поиск

Хакеры замахнулись на инфраструктуру Интернета

18 апрель, 2019 - 12:59

Хакеры замахнулись на инфраструктуру Интернета

Группа кибербезопасности Talos компании Cisco вчера информировала о широкомасштабной кампании шпионажа, проводившейся хакерами из команды под названием Sea Turtle против четырёх десятков различных организаций. Особняком эти атаки ставит использовавшийся метод взлома DNS — «адресной книги» Интернета.

Об этой фундаментальной уязвимости Всемирной Сети эксперты кибербезопасности предупреждают уже многие годы, и вот, их худшие опасения оправдались. Хакерам удалось взломать домены верхнего уровня, закреплённые за целыми странами, из-за чего в зоне риска оказался весь трафик по адресам, которые заканчиваются такими суффиксами, как .co.uk или .ru.

Жертвами Sea Turtle стали телекоммуникационные компании, провайдеры Интернет-сервисов и регистры доменных имён, отвечающие за функционирование системы DNS. Но приоритетные цели хакеров, по данным Cisco, это правительственные учреждения, включая министерства внутренних дел, разведывательные, военные и энергетические организации, расположенные в регионах Ближнего Востока и Северной Африки.

Проникнув в систему каталогов Интернета, злоумышленники могли скрытно организовывать атаки через посредника (man in the middle) для перехвата всех данных почтового и веб-трафика своих жертв. Крейг Уильямс (Craig Williams) из Cisco Talos считает, что особую обеспокоенность должна внушать не дерзость этой серии киберпреступлений, а то, что они подрывают фундамент, на котором зиждется доверие к Интернету.

«Когда вы работаете за компьютером и посещаете свой банк, то рассчитываете, что DNS-серверы скажут вам правду, — заявил он. — К сожалению, мы видим, что в региональном масштабе некто нарушил это доверие. Как оказалось, заходя на веб-сайт, вы не можете быть уверены, что общаетесь с тем, кто вам нужен».

Специалисты Cisco Talos сталкивались со взломом DNS неоднократно: инциденты варьировались от грубой подстановки фальшивых веб-страниц до прошлогодней кампании кибершпионажа, DNSpionage, связываемой с Ираном. Но действия Sea Turtle повышают градус серьёзности таких инцидентов, считают они.

Cisco Talos не смогла определить национальную принадлежность Sea Turtlе. Также она отказалась назвать конкретные цели хакеров, перечислив только страны, где те находятся: Албания, Армения, Кипр, Египет, Ирак, Иордания, Ливан, Ливия, Сирия, Турция и ОАЭ. Из доменов верхнего уровня группа официально подтвердила взлом только домена Армении — .am, а из фирм, связанных с управлением DND — шведскую NetNod и калифорнийскую Packet Clearinghouse, которые в феврале сами сообщили о взломе.

Одним и способов остановить распространение взломов инфраструктуры DNS может быть блокировка регистра (registry lock) — серия дополнительных мер аутентификации и оповещения владельцев при попытке смены настроек домена. Однако, по словам Уильямса, многие регистры до сих пор не обеспечивают такой функции, оставляя своих клиентов в состоянии неопределённости.

Всё это значит, что взлом DNS продолжает оставаться растущим фактором угрозы компьютерной безопасности. Даже если Sea Turtle будет остановлена, другие уже увидели действенность их методики и не замедлят скопировать её, предупреждает эксперт Cisco Talos.