世界中のハッキング犯罪者がNabデータにDNSトリックを使用


イランのハッカーは最近忙しくしていて、中東および海外でさまざまな標的型攻撃を開始しています。そして今週の脅威情報機関FireEyeからの報告には、過去2年間に行われた大規模な世界規模のデータ狙撃キャンペーンが詳細に記されている。同社は予備的にイランにリンクしている。

データセキュリティがWeb上を移動するときにデータセキュリティを弱めるために従来の戦術を使用して、ハッカーは、ログイン認証情報や通信詳細、インターネットサービスプロバイダ、政府組織、および中東、北アフリカ、ヨーロッパのその他の機関から機密データを入手しました。北米。 FireEyeの研究者らは、盗まれたデータのターゲットと種類はイラン政府のスパイ活動の利益と一致している – そして大規模な攻撃の背後にいる人は誰でも将来のサイバー攻撃を後押しする可能性がある。

FireEyeのサイバースパイ分析分析担当シニアマネージャーであるBen Readは、次のように述べています。 "私達はこれの最後を見たことがない。"

非常に多くの機密データを何十ものターゲットから吸い取るために、攻撃者はDNSハイジャックと呼ばれる手法のバリエーションを使用してきました。この方法は、インターネットを支える基盤となるプロトコルの弱点を利用して、データを攻撃者の手に委ねます。

「イラン人たちは、それを楽しむためだけにこの量の作業を行っているわけではありません。」

Dave Aitel、Cyxtera

WebサイトをブラウザにロードしたりWebサービスを使用したりすると、「ドメインネームシステム」チェックの舞台裏のプロセスにより、適切なWebサーバーから適切なコンテンツが受信されます。本質的にインターネット版の電話帳検索であるDNSサーバーは、ブラウザやサービスが目的の接続先に接続するために必要なパスを明らかにします。

電話帳の他の番号を自分のものに変更するか、インフラストラクチャを操作して他の番号の束も自分の回線に鳴らすようにした場合は、ターゲットが何かを認識していなくてもあらゆる種類の電話を聞くことができます。違う。

FireEyeが発見した大規模なDNSハイジャック犯罪の事例では、ハッカーが2017年1月からDNSレコードを操作して、電子メールデータ、ユーザー名、パスワード、および組織のWebドメインに関する詳細を傍受してきました。

テクニック自体は斬新ではありません。攻撃者は何年もの間DNSハイジャックを悪用してきました、そしてセキュリティ研究コミュニティはそれの可能性について何十年もの間知っていました。しかし、FireEyeのReadは、このアプローチはサイバーセキュリティ防御の必要性についての意識が高まり、組織がネットワークをロックダウンする方向に進んでいるため、最近さらに普及していると指摘しています。 DNSハイジャックは、組織のシステムに実際に侵入することなく、内部データにアクセスするための比較的簡単な方法です。

「彼らが後になっているのは情報です」とReadは言います。 「彼らはどこから手に入れたのか気にしない」

イランのハッカーは、過去5年間で政府の情報から知的財産、研究大学のデータまでをターゲットに、デジタル情報収集業務を着実に強化してきました。これらのキャンペーンでは、多くの場合、洗練されたスピアフィッシング攻撃を使用して資格情報を取得し、ネットワークに侵入します。しかし、それが実行不可能であるか、またはうまくいかない場合、DNSハイジャックはギャップを埋め、より不明瞭な資格情報を提供する可能性があります。

DNSハイジャック攻撃から保護するために、FireEyeは組織がメールサーバーの証明書を監視し、自分のドメインが実際にどこを指しているのかを確認して、厄介な行動を捕らえることを推奨します。 「これは、証明書が変更されたときにだれも追跡していないことを意味します」と、現在セキュアインフラストラクチャ企業Cyxteraの最高セキュリティ技術責任者である元NSAの研究者であるDave Aitelは述べています。攻撃者は可能な限りこれらの開かれた扉を利用しますが、標的型攻撃を仕掛けるために行った作業は、依然としてそこから出るデータの価値を示唆しています。 「イラン人は、それを楽しむためだけにこの量の作業を行っているわけではありません」とAitelは言います。

Cisco Talosを含む他の脅威インテリジェンス研究グループは、これまで悪質なキャンペーンのさまざまな要素を検出しています。そしてFireEyeは、攻撃者がどのようにして特定のDNSレコードを操作できたのか、およびデータの侵害の程度を見分けるのは難しいため、DNSハイジャックキャンペーンをうまく処理するのは難しいと強調しました。

このハッキングがまくられるという、さらに多くの理由が、将来の数多くの攻撃の先駆者になる可能性があります。

「私たちはこの特定のキャンペーンの全範囲を明らかにさえしていません」とReadは言います。 「私たちがブログ記事を公開した後でさえ、明らかにそれ以来ハイジャックされていた新しいドメインを見つけました。」


もっと素晴らしいWIREDストーリー