Хакеры Sea Turtle напомнили о себе

Исследователи компании Cisco Talos сообщили об очередном всплеске активности хакерской группировки, получившей название Sea Turtle. Эта группа использует сравнительно новый метод атак в попытках скомпрометировать интересующие их ресурсы. Хакеры взламывают системы доменных регистраторов и регистратур, а также DNS-провайдеров, и изменяют настройки DNS-записей целевых доменных имен. В результате трафик соответствующих ресурсов переадресуется на созданные злоумышленниками подставные страницы. Таким образом, в руках хакеров оказывается ценная информация, включая логины и пароли администраторов веб-ресурсов.

Подобные атаки крайне сложно обнаружить, поскольку никому из регистрантов, естественно, не приходит в голову ежедневно проверять правильность DNS-записей своих доменов. Помимо Cisco Talos, атаки группировки Sea Turtle были зафиксированы специалистами компаний FireEye и Crowdstrike. Так, в феврале стало известно о взломе шведской точки обмена трафиком NetNod, предоставляющей DNS-сервисы ряду регистратур национальных доменов. В результате хакеры смогли скомпрометировать DNS-записи ряда доменов в национальном домене Саудовской Аравии .SA.

Теперь исследователи говорят о новой волне атак. Их жертвы уже обнаружены в Швейцарии, Соединенных Штатах и Судане. Скомпрометированными оказались веб-ресурсы правительственных учреждений, общественных организаций, энергетических компаний, исследовательских центров и как минимум одного аэропорта. Последней жертвой взлома Sea Turtle стал Институт компьютерных исследований Фонда исследований и технологий Греции (ICS-Forth), который выполняет, в том числе. функции регистратуры национальных доменов Греции .GR и .EL. В настоящий момент не установлено, DNS-записи каких доменов могли быть скомпрометированы вследствие этой атаки. Специалисты FireEye полагают, что группировка Sea Turtle является иранской и действует при поддержке правительства страны. Исследователи Cisco Talos и Crowdstrike пока воздерживаются от предположений о национальной принадлежности хакеров.


Источник:  ZDNET

Возврат к списку