Un grupo de piratas informáticos ha ido tras los dominios gubernamentales:apuntó a 40 agencias gubernamentales y de inteligencia, gigantes de las telecomunicaciones e Internet en 13 países durante más de dos años, dichos informes. Esta es una nueva sofisticado equipo de piratas informáticos que espían a decenas de objetivos, dijo Cableado .

"Este es un grupo nuevo que está operando de una manera relativamente única que no habíamos visto antes, usando nuevas tácticas, técnicas, y procedimientos, "Craig Williams, director, alcance en Cisco Talos, dicho TechCrunch .

Los investigadores identificaron la campaña y la llamaron "Tortuga marina". Están en la unidad de ciberseguridad Talos de Cisco. Zack Whittaker, editor de seguridad en TechCrunch , amplió los descubrimientos:la unidad "hizo sonar la alarma después de descubrir un grupo de piratas informáticos no descubierto anteriormente que apuntaba a una parte central de la infraestructura de Internet".

Cómo funciona Sea Turtle:se dirige a las empresas secuestrando su DNS:apunta el nombre de dominio de un objetivo a un servidor malintencionado en lugar de a su objetivo previsto, dijo Anthony Spadafora, TechRadar.

Ars Technica ampliado explicando lo que ocurre:

Dan Goodin escribió:"los atacantes primero modifican la configuración de DNS para los registradores de DNS específicos, empresas de telecomunicaciones, e ISP:empresas como Cafax y Netnod. Luego, los atacantes utilizan su control de estos servicios para atacar a los objetivos principales que utilizan los servicios ".

Realmente, el exploit aprovechaba algunas fallas conocidas en el DNS, dijo Spadafora, y esos defectos se pueden utilizar "para engañar a víctimas desprevenidas para que imputen sus credenciales en páginas de inicio de sesión falsas".

Dijo que "al usar su propio certificado HTTPS para el dominio del objetivo, los atacantes pueden hacer que un servidor malintencionado parezca genuino ".

Según Talos, los piratas informáticos pusieron en peligro al proveedor de DNS sueco Netnod. El equipo de Talos escribió en su blog que "En otro caso, los atacantes pudieron comprometer NetNod, una organización sin fines de lucro, organización independiente de infraestructura de Internet con sede en Suecia ". Ars Technica dijo Netnod también es el operador de i.root, uno de los 13 servidores raíz DNS fundamentales de Internet.

Según Talos, los piratas informáticos utilizaron esta técnica para comprometer al proveedor de DNS sueco Netnod, así como a uno de los 13 servidores raíz que alimentan la infraestructura de DNS global.

Este era un grupo de piratas informáticos "muy avanzado", y "probablemente" respaldado por un estado-nación.

El equipo de Talos publicó un blog el 17 de abril con una nota de preocupación por lo que pueda venir:

"Si bien este incidente se limita a apuntar principalmente a organizaciones de seguridad nacional en el Medio Oriente y África del Norte, y no queremos exagerar las consecuencias de esta campaña específica, nos preocupa que el éxito de esta operación lleve a los actores a atacar de manera más amplia el sistema DNS global ".

Goodin señaló, mientras tanto, que "Una de las cosas que hace que Sea Turtle sea más maduro es el uso de una constelación de exploits que colectivamente permiten a sus operadores obtener acceso inicial o moverse lateralmente dentro de la red de una organización objetivo".

¿Qué ha recomendado Talos como estrategia de mitigación?

Talos sugirió usar un servicio de bloqueo de registro, para requerir un mensaje fuera de banda antes de que se produzcan cambios en el registro DNS de una organización.

Si su registrador no ofrece un servicio de bloqueo de registro, Autenticación multifactor recomendada por Talos, p.ej., DÚO, para acceder a los registros DNS de la organización.

"Si sospecha que fue el objetivo de este tipo de intrusión de actividad, recomendamos instituir un restablecimiento de contraseña en toda la red, preferiblemente desde una computadora en una red confiable. Finalmente, recomendamos aplicar parches, especialmente en máquinas conectadas a Internet. Los administradores de red pueden monitorear el registro de DNS pasivo en sus dominios, para comprobar si hay anomalías ".

© 2019 Science X Network