▶Un grupo de piratería de tortugas marinas ataca dominios gubernamentales.

การเปรียบเทียบ
บทเรียน
กลุ่มแฮ็กเต่าทะเลโจมตีโดเมนของรัฐบาล

นักวิจัยจาก Talos Cybersecurity Unit ของ Cisco ได้ค้นพบกลุ่มแฮกเกอร์กลุ่มใหม่ที่มีเป้าหมายเป็นยักษ์ใหญ่ของรัฐบาล 40 รายและบริการด้านข่าวกรองโทรคมนาคมและอินเทอร์เน็ตใน 13 ประเทศเป็นเวลานานกว่าสองปี อย่างไรก็ตามแคมเปญใหม่นี้มีความคล้ายคลึงกับ DNSpionage ซึ่งเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่ถูกต้อง เพื่อให้พวกเขาขโมยรหัสผ่านผู้ตรวจสอบได้ประเมินอย่างมั่นใจว่าแคมเปญ "เต่าทะเล" เป็นการดำเนินการใหม่ที่แยกจากกัน Sea Turtle กำหนดเป้าหมายธุรกิจโดยการขโมย DNS ของตนโดยชี้ชื่อโดเมนของเป้าหมายไปยังเครือข่ายที่เป็นอันตราย เทคนิคการปลอมแปลงที่แฮกเกอร์ใช้เบื้องหลังแคมเปญใช้ช่องโหว่ของ DNS ที่มีมายาวนานซึ่งสามารถใช้สำหรับเหยื่อที่ไม่สงสัยในการแอบอ้างข้อมูลประจำตัวของตนไปยังหน้าล็อกอินปลอม เต่าทะเลการโจมตีทางทะเลเต่าทำงานก่อนโดยการเข้าร่วมเป้าหมายโดยใช้ฉมวกเพื่อสร้างเท้าในตาข่ายของพวกมัน ช่องโหว่ที่ทราบจะถูกใช้เพื่อกำหนดเป้าหมายเซิร์ฟเวอร์และเราเตอร์เพื่อย้ายไปด้านข้างภายในเครือข่ายของ บริษัท เพื่อรับรหัสผ่านเฉพาะเครือข่าย ข้อมูลระบุตัวตนนี้ใช้เพื่อชี้ไปที่โต๊ะลงทะเบียน DNS ขององค์กรเมื่ออัปเดตระเบียนเพื่อให้ชื่อโดเมนชี้ไปที่ที่อยู่ IP และเซิร์ฟเวอร์ ควบคุมโดยโจรสลัด จากนั้นแฮกเกอร์จะใช้การสกัดกั้นเพื่อยืมข้อมูลประจำตัวจากหน้าล็อกอินและรับข้อมูลประจำตัวเพิ่มเติมเพื่อพอร์ตไปยังเครือข่ายของ บริษัท ด้วยการใช้ใบรับรอง HTTPS ของตนเองสำหรับโดเมนเป้าหมายผู้โจมตีสามารถให้การแสดงผลที่แท้จริงแก่เซิร์ฟเวอร์ที่เป็นอันตราย ตามที่ Talos แฮ็กเกอร์ใช้เทคนิคนี้เพื่อประนีประนอม Netnod ผู้ให้บริการ DNS ของสวีเดนรวมถึงหนึ่งใน 13 เซิร์ฟเวอร์รูทที่ขับเคลื่อนเซิร์ฟเวอร์ทั่วโลก โครงสร้างพื้นฐาน DNS แฮกเกอร์ยังสามารถเข้าถึงสำนักงานทะเบียนที่จัดการโดเมนระดับบนสุดของอาร์เมเนียโดยใช้กลยุทธ์ที่คล้ายกัน แม้ว่า Talos จะไม่เปิดเผยว่ากลุ่มนี้อยู่เบื้องหลังสถานะใด แต่นักวิจัยกล่าวว่าเต่ามีความสามารถสูง ให้คำแนะนำในการบรรเทาผลกระทบในบล็อกโพสต์โดยระบุว่า "Talos แนะนำให้ใช้บริการล็อกบันทึกซึ่งจะต้องมีข้อความนอกวงก่อนจึงจะสามารถทำการเปลี่ยนแปลงได้" บันทึก DNS ของ บริษัท หากผู้รับจดทะเบียนของคุณไม่มีบริการล็อกบันทึกเราขอแนะนำให้คุณใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยเช่น DUO เพื่อเข้าถึงระเบียน DNS ของ บริษัท ของคุณ หากคุณเชื่อว่าคุณถูกบุกรุกจากกิจกรรมประเภทนี้เราขอแนะนำให้คุณตั้งค่ารหัสผ่านใหม่ในระดับเครือข่ายโดยเฉพาะอย่างยิ่งจากภายในเครือข่าย คอมพิวเตอร์บนเครือข่ายที่ได้รับการอนุมัติสุดท้ายนี้เราขอแนะนำให้คุณใช้โปรแกรมแก้ไขโดยเฉพาะบนคอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ต ผู้ดูแลระบบเครือข่ายสามารถตรวจสอบระเบียน DNS แบบพาสซีฟในโดเมนของตนเพื่อหาความผิดปกติ

กลุ่มแฮ็กเต่าทะเลโจมตีโดเมนของรัฐบาล