Các cuộc tấn công, nhắm mục tiêu vào một số quốc gia để chuyển hướng thông tin traffic và thu hoạch, đã được liên kết với Iran.
Một làn sóng tấn công chiếm quyền điều khiển DNS nhắm vào các nạn nhân ở Bắc Mỹ, Châu Âu, Trung Đông và Bắc Phi đã được liên kết với Iran. Theo các nhà nghiên cứu, các cuộc tấn công đang diễn ra trong hai năm qua đã mang lại cho người dùng một mức độ thành công cao.
Các nhà nghiên cứu tại FireEye nói rằng các cuộc tấn công được phát động chủ yếu chống lại các công ty hạ tầng chính phủ, viễn thông và internet. Các cuộc tấn công liên quan đến việc chặn lưu lượng truy cập từ các công ty với mục tiêu thu hoạch tên người dùng, mật khẩu và thông tin tên miền của nạn nhân.
Các nhà nghiên cứu tin rằng những kẻ thù đằng sau các cuộc tấn công là các diễn viên gián điệp mạng có trụ sở tại Iran. Các nhà nghiên cứu ban đầu của FireEye là Muks Hirani, Sarah Jones và Ben Read, đồng tác giả của báo cáo cho biết, mặc dù chúng tôi hiện không liên kết hoạt động này với bất kỳ nhóm được theo dõi nào.
Các cuộc tấn công đã được quan sát trong các cụm từ tháng 1 năm 2017 đến tháng 1 năm 2019, các nhà nghiên cứu cho biết trong phân tích thứ tư về các cuộc tấn công.
Chiến dịch này đã nhắm mục tiêu vào các nạn nhân trên toàn cầu với quy mô gần như chưa từng có, theo FireEye. Một số lượng lớn các tổ chức đã bị ảnh hưởng bởi mô hình thao túng hồ sơ DNS và chứng chỉ SSL lừa đảo này.
Alister Shepherd, Giám đốc MEA của Mandiant tại FireEye, nói với Threatpost rằng chiến dịch đang diễn ra – nhưng không có dấu hiệu nào cho thấy có bao nhiêu thông tin đã được thu hoạch cho đến nay. Các nhà nghiên cứu đã xác định ba loại tấn công, mỗi loại ảnh hưởng đến hàng chục lĩnh vực.
Kỹ thuật
Đánh cắp DNS là một loại tấn công độc hại trong đó một cá nhân chuyển hướng truy vấn đến máy chủ tên miền thông qua việc ghi đè cài đặt giao thức điều khiển truyền / giao thức internet (TCP / IP) của máy tính – thường bằng cách sửa đổi cài đặt của máy chủ.
Trong khi chiến dịch này sử dụng một số chiến thuật truyền thống, thì nó khác với hoạt động khác của Iran mà chúng ta đã thấy bằng cách tận dụng việc chiếm quyền điều khiển DNS ở quy mô, các nhà nghiên cứu cho biết. Kẻ tấn công sử dụng kỹ thuật này cho chỗ đứng ban đầu của chúng, sau đó có thể được khai thác theo nhiều cách khác nhau.
Cụ thể, kẻ tấn công sử dụng ba phương pháp khác nhau để thực hiện các cuộc tấn công chiếm quyền điều khiển DNS.
Trong kỹ thuật đầu tiên, họ đăng nhập vào bảng quản trị của nhà cung cấp DNS bằng thông tin đăng nhập mà đã thu th(có thể bị lừa qua các kỹ thuật lừa đảo, v.v.). Sau đó, họ thay đổi bản ghi DNS A để chặn lưu lượng. Bản ghi A là một loại bản ghi DNS (được sử dụng để kiểm soát vị trí của tài nguyên trên internet) trỏ tên miền logic đến địa chỉ IP của máy chủ lưu trữ của tên miền đó.
Trong kỹ thuật thứ hai, những kẻ tấn công sử dụng một phương pháp tương tự (thông tin đã bị xâm phạm trước đó) để đăng nhập vào bảng quản trị và từ đó chúng xâm nhập vào tài khoản đăng ký tên miền của nạn nhân và thay đổi bản ghi DNS NS. Các bản ghi NS chỉ định các máy chủ cung cấp dịch vụ DNS cho tên miền đó, vì vậy khi thay đổi chúng, kẻ tấn công có thể chuyển hướng lưu lượng truy cập đến một máy chủ do kẻ tấn công khác kiểm soát.
Trong phương thức thứ ba, kẻ tấn công sử dụng bộ chuyển hướng DNS, hộp hoạt động của kẻ tấn công đáp ứng các yêu cầu DNS (cũng như các bản ghi A và NS đã thay đổi) để chuyển hướng lưu lượng nạn nhân đến cơ sở hạ tầng do kẻ tấn công duy trì.
Trong mọi trường hợp, kẻ tấn công sử dụng Chứng chỉ mã hóa của Let, cơ quan chứng nhận mở, tự động và miễn phí, cho phép các trình duyệt thiết lập kết nối mà không có bất kỳ lỗi chứng chỉ nào vì chứng chỉ có thể được tin cậy. Điều đó giúp những kẻ tấn công trượt qua mà không cần thông báo vì nạn nhân không biết về bất kỳ thay đổi nào và chỉ có thể nhận thấy một chút chậm trễ.
Ghi công
Trong khi các nhà nghiên cứu nói rằng sự quy kết cho chiến dịch đang diễn ra, họ đánh giá với mức độ tin cậy vừa phải, rằng hoạt động này được thực hiện bởi một nhóm hoặc các nhóm ở Iran và hoạt động này phù hợp với lợi ích của chính phủ Iran.
Điều này là do họ phát hiện ra các IP của Iran đang được sử dụng để truy cập các máy mà sau đó được sử dụng để chặn và chuyển hướng lưu lượng mạng. Hơn nữa, các nạn nhân bị nhắm đến bao gồm các chính phủ Trung Đông có thông tin bí mật sẽ được chính phủ Iran quan tâm.
Các nhà nghiên cứu cho biết, trong khi định vị địa lý của một địa chỉ IP là một chỉ số yếu, các địa chỉ IP này trước đây đã được quan sát thấy trong quá trình phản ứng với một vụ xâm nhập được cho là của các diễn viên gián điệp mạng Iran,
Chiến dịch trước
Chiến dịch chiếm quyền điều khiển DNS gần đây nhất này đã giới thiệu sự phát triển liên tục trong chiến thuật từ các diễn viên có trụ sở tại Iran, các nhà nghiên cứu của Fire FireEye nhấn mạnh. Đây là tổng quan về một bộ TTP mà gần đây chúng tôi đã quan sát thấy có ảnh hưởng đến nhiều thực thể.
Cơ sở hạ tầng được sử dụng có liên quan đến kẻ tấn công được báo cáo trước đây bởi các nhà nghiên cứu của Cisco Talos vào tháng 11, theo Paul Rascagneres, nhà nghiên cứu tại Cisco Talos, trên Twitter.
Trở lại vào tháng 11, các nhà nghiên cứu của Talos đã trình bày chi tiết về chiến dịch mà họ tìm thấy đang nhắm vào Lebanon và Các Tiểu vương quốc Ả Rập Thống nhất, cũng như một công ty hàng không Labense tư nhân.
Trong chiến dịch đó, những kẻ tấn công đã sử dụng cùng một IP để chuyển hướng DNS của các tên miền .gov và công ty tư nhân hợp pháp. Trong mỗi lần thỏa hiệp DNS, diễn viên đã cẩn thận tạo chứng chỉ Let Encrypt cho các miền được chuyển hướng.
Chiến dịch đó đặc biệt đã sử dụng hai trang web giả mạo, độc hại có chứa các bài đăng công việc được sử dụng để thỏa hiệp các mục tiêu thông qua các tài liệu Microsoft Office độc hại với các macro nhúng.
Về mặt phòng ngừa, các nhà nghiên cứu kêu gọi các nạn nhân tiềm năng thực hiện xác thực đa yếu tố trên các cổng quản trị của tên miền, xác thực các thay đổi cho bản ghi DNS A và NS, đồng thời tìm kiếm và thu hồi bất kỳ chứng chỉ độc hại nào liên quan đến miền của họ.