研究人员警告,国有赞助的黑客正在劫持DNS
一个网络攻击活动被称为“海龟”专注于劫持域名系统(DNS)是针对公共和私人实体的目标,包括中东和非洲国家安全组织,促使安全研究人员敦促全球的原因,以确保他们受到保护。
正在进行的活动具有第一个公开确认的DNS注册管理机构妥协的案例,并被认为已在2017年1月开始开始。根据思科的Talos安全宣言的研究人员称,它涉及13个国家的至少40个组织。
“我们以高信任评估,这项活动是由先进的国家赞助的演员进行的,寻求获得对敏感网络和系统的持久访问权限,”他们在博客文章中说。
该活动具有DNS劫持,其中攻击者的攻击者没有修改DNS名称记录,以将用户指向Actor-Control服务器。
2019年1月,美国国土安全部(DHS)发出了一种努力停止篡改攻击的攻击攻击的攻击,警告可以重定向用户流量并获取组织域名的有效加密证书的努力。
几天后,英国的国家网络安全中心(NCSC)宣布探讨了据报道,据据报道,据报道,据报道,据据报道,据据据据局势影响了政府和商业组织,并发布了防御建议。
研究人员表示,DNS是一家支持互联网的基础技术。“操纵该系统有可能破坏信任用户的互联网,”他们添加。“这种信任和DNS系统的稳定性,整个驱动全球经济。”
在海龟运动中,研究人员发现目标落入两个主要群体。第一个包括国家安全组织,外交部和突出的能源组织。
研究人员表示,在攻击这一群体时,攻击者将针对第三方实体为主要目标提供服务,以获得访问权限,说。
第二个目标组包括DNS注册商,电信公司和互联网服务提供商。
“这项运动中最值得注意的方面之一是他们如何通过首先针对这些第三方实体来执行他们的主要受害者的DNS劫持他们的主要受害者,”研究人员说,威胁鉴于“严重” Actor的方法在定位各种DNS注册商和注册机构方面。
研究人员表示,该活动代表了对目标地区的组织的持续,高度的威胁。“由于这种方法的有效性,我们鼓励全球所有组织,以确保他们采取措施尽量减少恶意演员复制这种攻击方法的可能性,”他们说。
为了防范这种类型的攻击,组织应该使用注册表锁定服务,这将在研究人员说,在组织的DNS记录中可能发生任何更改之前需要带外消息。
如果注册商不提供注册表锁定服务,研究人员建议实施多因素身份验证(MFA)以访问DNS记录。他们还建议应用补丁,尤其是面向互联网的机器。“网络管理员可以在其域上监控被动DNS记录以检查异常,”他们添加。
Cyber威胁情报公司的高级安全顾问Corin Imai表示,DNS劫持是一种特别危险的攻击技术,因为它可以促进各种恶意活动。
“无论是重定向的流量是否用于网络钓鱼目的,或者向使用特定网站提供目标广告,它可能是一个强大的工具,”Imai说。“这些网站与政府和基础设施目标相关的事实意味着这种劫持运动的目标可能是间谍活动。更重要的是,这不是第一次捕获海龟,但他们继续成功打破互联网的信任模式。“
DNS安全服务公司NS1首席执行官Kris Beevers表示,Cyber攻击者认识到DNS是企业,政府和其他组织的缓解策略相对攻击,相对于攻击DNS的潜在恶意影响。
“以前的攻击也在某些情况下损失了注册商,但这更为显着,”贝阿尔斯说。“糟糕的演员正在探索他们能够利用这种弱点的所有角度,我们将继续看到针对DNS控制平面[注册商,权威DNS系统]的攻击以及对抗DNS的缓存等级,例如DNS中毒攻击,直到目标组织提高障碍,并广泛实施ICANN清单中所识别的众所周知的最佳实践领域安全措施。“
Beovers表示,保护防止这种攻击和其他常见攻击,如分布式拒绝服务(DDOS),要求组织实施:
2FA / MFA,强密码和IP白名单用于访问注册商和DNS控制面板和API(应用程序编程接口)。审核对敏感DNS记录的更改 - DNS供应商的连接审计记录API,进入SIEM(安全信息和事件管理系统)或其他警报系统。关键域的DNS记录的外部监视。“我们继续看到攻击者利用中央角色DNS在协调所有互联网和应用程序流量方面播放,”Beevers说。“组织必须继续常见的安全实践,包括DNSSEC签署每个域和DNS网络冗余,以限制目标DDO对DNS网络的影响。”