Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Злоумышленники брали под контроль почтовый трафик государственных и частных организаций с целью кражи паролей.
Специалисты FireEye обнаружили масштабную кампанию, нацеленную на кражу учетных данных сотрудников государственных и коммерческих организаций по всему миру. Злоумышленники перехватывали запросы DNS, чтобы анализировать трафик жертвы и собирать логины, пароли и другую информацию. Атаки, которые трудно обнаружить при помощи сканеров безопасности, впервые были зафиксированы в январе 2017-го и продолжаются по сей день.
По мнению аналитиков, киберпреступники используют три основные тактики взлома. В первом случае нападающие изменяют DNS-запись почтового сервера компании-жертвы, чтобы перенаправлять трафик на свои ресурсы. Для этой цели злоумышленники авторизуются в панели управления регистратора или хостинг-провайдера организации и корректируют А-запись, отвечающую за контроль почтового трафика. Специалисты FireEye считают, что учетные данные для доступа к веб-интерфейсу администратора домена мошенники получают через украденные ранее логин и пароль.
Сразу после перехвата учетных данных криминальный сервер автоматически переадресует запрос пользователя назад к легитимной почтовой платформе, а жертва продолжает работать с электронными сообщениями, не подозревая, что ее аккаунт скомпрометирован. Злоумышленники используют бесплатные HTTPS-сертификаты Let’s Encrypt для обхода файрволлов и систем безопасности. Локальные антивирусные сканеры также не определяют такую сетевую активность как криминальную.
Второй метод предполагает подмену NS-записи жертвы, что приводит к перехвату всего трафика, адресованного целевому домену. Как и в первом случае, злоумышленники возвращают запросы обратно на легитимный сервер и применяют защищенное соединение для маскировки вредоносной активности. Такая атака не требует доступа к панели администратора DNS, но предполагает взлом сайта регистратора доменных имен или координатора национального домена.
В ряде случаев мошенники применяли отдельную службу DNS-переадресации, которая обрабатывала все запросы сервера жертвы, взломанного одним из двух предыдущих методов. Если пользователь обращался к почтовому серверу, происходил перехват учетной информации, в противном случае трафик передавался для обработки легитимному сервису управления доменом.
Исследователи затрудняются идентифицировать хакерскую группу, стоящую за этими атаками, однако отмечают ряд косвенных признаков, указывающих, что киберпреступники действуют в интересах правительства Ирана.
Взлом DNS-серверов на уровне регистратора домена или хостинг-провайдера — относительно редкое явление, поскольку в этом случае злоумышленникам приходится обходить системы защиты профессионального уровня.
В июле прошлого года ИБ-специалисты обнаружили, что сервер индонезийского провайдера в течение 30 минут перенаправлял запросы, адресованные американским финансовым сервисам, на компьютеры киберпреступников. Продолжительность последующих атак достигла нескольких часов, а число скомпрометированных операторов связи пополнил малайзийский сервис Extreme Broadband.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |