A FireEye egy legkésőbb 2017 januárja óta zajló kiterjedt kibertámadási kampányra hívja fel a figyelmet, amely kormányzati, telekommunikációs és egyéb internetes infrastruktúrák ellen zajlik világszerte, de legfőképp a közel-keleti, észak-afrikai, európai és észak-amerikai régiókban. Ennek során a támadók a célkeresztben lévő infrastruktúra DNS beállításait manipulálva eltérítik a szervezet internetes forgalmát. A kutatók háromféle rendkívül szofisztikált technikát azonosítottak: az első esetben a támadók valamilyen módon hozzáférést szereznek a kiszemelt szervezet DNS szolgáltatójához, amelynek birtokában megváltoztatják a „DNS A” rekordhoz tartozó bejegyzést, a célból, hogy eltéríthessék az e-mail forgalmat. A második típus szerint a domain regisztrátort veszik célba, ekkor az „NS” rekordot módosítják. Mindkét módszer alkalmazásával felhasználói nevekre, jelszavakra és egyéb domain hitelesítési adatokra tehetnek szert. A harmadik technika ─ lényegében a támadás második fázisa ─ során az imént részletezett technikák valamelyikével, illetve egy DNS redirector segítségével már a teljes hálózati forgalmat képesek eltéríteni. Az amerikai cég jelenleg nem köti a kampányt egy adott APT csoporthoz, azonban a felhasznált módszertan tekintetében azok hátterében Iránt sejtik.
DNS eltérítéses támadásokkal gyanúsítják Iránt
2019. január 11. 13:53