4月12日,星期六,57:XNUMX
调查 研究:他们煽动海龟黑客攻击。 网络战正在进行中?

研究:他们煽动海龟黑客攻击。 网络战正在进行中?

海龟黑客攻击:与土耳其一起躲在网络恐怖主义背后的网络战争?

简要分析

黑客 反对 政府网站 欧洲和中东国家希腊是主要目标之一,引起了全球关注。 SecNews对可能的身份进行了调查 黑客,攻击及其带来的风险。

2017年开始了名为Sea Turtle的黑客攻击活动,演变为危险的网络恐怖主义,可能预示着 网络战争.

黑客最初 袭击了政府组织,能源公司,智囊团(认为 坦克),国际政府组织,机场和 轮廓 名流 北非和中东地区,然后传播到 欧洲 και 美国.

早期的推测表明,背后的原因 黑客 广告活动位于 伊朗黑客,因为它们以此类攻击而闻名,最新的攻击对象是欧洲能源公司。

随着攻击的继续,甲板似乎变了叶子, 指着她 土耳其政府 攻击背后。

该活动具有特色,在专家中引起了很大的反响。 a的特征 政府资助的间谍活动 促进土耳其利益。

活动

首先让我们分析一下海洋的本质 运动及其目标。 自2018年XNUMX月以来,海龟运动一直在跟踪, 国家公共和私人机构的主要目标。 它的特点是 DNS 劫持 攻击。

根据到目前为止的数据,大约在大约XNUMX年内发现了攻击 40个国家/地区的13个组织。

攻击者组织严密,并采用复杂的方法使他们能够访问敏感 网络 和系统。 DNS劫持攻击会将用户重定向到恶意网站, 修改它们 DNS名称记录 或其设置 服务器.

该运动似乎 针对两类受害者。 第一类属于国家安全组织,外交部和 能源相关组织。 第二类受害者是DNS管理员,电信公司和互联网服务提供商。

值得注意的是,攻击者的第一个目标是第三方(提供者),后者向其第三方(外包)目标提供服务。

域名解析突袭

什么是DNS 劫持;

DNS劫持,DNS中毒或DNS重定向是破坏域名系统(DNS)查询分析的一种做法。 这可以通过以下方式实现 恶意软件 它替换了计算机的TCP / IP配置,以显示由黑客控制的恶意DNS服务器或修改受信任的DNS服务器的行为,以使其不符合Internet标准。 当然啦 这些修改是出于恶意目的。

可以想象,海龟运动是出于恶意目的进行这些修改的。 特别是:

攻击者 获得他们 证书 管理员的 组织的网络和 修改DNS记录。

否则他们获得 通过DNS管理员访问,谁卖名字 并管理DNS记录。 DNS注册表是可访问的 通过使用可扩展配置协议(EPP)的注册表应用程序。

黑客获取其中一个EPP密钥来修改DNS记录,这些记录由管理员处理。

黑客尝试通过以下方式窃取凭据以访问网络和系统:

  1. 最初尝试控制目标的DNS记录,
  2. 然后将DNS记录修改为 将用户重定向到服务器 这是在黑客的控制下,而不是在真实服务器上
  3. 最终在用户与受控服务器通信时窃取凭据。

通过这些程序,黑客设法访问组织的系统和攻击。

使用新 DNS 劫持 技术

这项新技术很少使用,到目前为止,它们已经被发现 只有两个 实体 来自2018。

在这种情况下,域名的名称服务器记录被修改为将合法用户引向恶意服务器。 受控名称服务器和被劫持的主机名将导致相同的地址 IP 短时间(通常少于24小时)。 在这两种情况下,被劫持的主机名之一都涉及电子邮件服务,黑客通过该电子邮件服务来获取其登录凭据。 受害者。 这种技术的一个极难监控的方面是,受控名称服务器并未用于多种用途,这意味着每个被劫持的实体都有自己的名称服务器主机名和唯一的IP地址。 虽然前面提到的名称服务器域像 ns1 [。] Intersecdns [。] com 被用来定位多个组织。

年轻的 名称服务器 由...控制 黑客

rootdn服务器[。] com: 它提供了与以前用作Sea Turtle活动一部分的名称服务器类似的行为模式。 域 rootdnservers [。] com 由NameCheap注册商于5年2019月XNUMX日发布。 到新的 域rootdnservers [。] com 用于针对DNS劫持 三个政府机构 都使用了希腊ccTLD .gr。 劫持很可能是通过访问ICS-Forth网络进行的。

下表列出了与此活动相关联的三个最新的恶意名称服务器( 塔洛斯情报局):

Ho名字IP地址运行状态
ns1 [。] rootdnservers [。] com。45 [。] 32 [。] 100 [。] 62在售楼盘
ns2 [。] rootdnservers [。] com。45 [。] 32 [。] 100 [。] 62在售楼盘
ns1 [。] intersecdns [。] com95 [。] 179 [。] 150 [。] 101待用
ns2 [。] intersecdns [。] com95 [。] 179 [。] 150 [。] 101待用

与中间人活动相关的新IP:

通过识别目标域,可以识别被劫持的主机名和相应的MitM节点。 黑客执行“证书模拟”策略,即目标主机名提供了 SSL证书 来自其他SSL提供商。 下表是日期和相关IP地址的表格。

日期IP地址
13年2019月XNUMX日95 [。] 179 [。] 131 [。] 225
16年2019月XNUMX日95 [。] 179 [。] 131 [。] 225
11年2019月XNUMX日95 [。] 179 [。] 131 [。] 225
11年2019月XNUMX日140 [。] 82 [。] 58 [。] 253
10年2019月XNUMX日95 [。] 179 [。] 156 [。] 61

违规指标

IP地址描述日期范围
185 [。] 64 [。] 105 [。] 100操作节点3月 - 4月2019
178 [。] 17 [。] 167 [。] 51操作节点六月2019
95 [。] 179 [。] 131 [。] 225Mitm节点四月2019
140 [。] 82 [。] 58 [。] 253Mitm节点四月2019
95 [。] 179 [。] 156 [。] 61Mitm节点四月2019
196 [。] 29 [。] 187 [。] 100Mitm节点十二月2018
188 [。] 226 [。] 192 [。] 35Mitm节点一月2018
ns1 [。] rootdnservers [。] com角色控制的名称服务器四月2019
ns2 [。] rootdnservers [。] com角色控制的名称服务器四月2019
45 [。] 32 [。] 100 [。] 62托管的恶意名称服务器四月2019
ns1 [。] intersecdns [。] com角色控制的名称服务器2019年XNUMX月-XNUMX月
ns2 [。] intersecdns [。] com角色控制的名称服务器2019年XNUMX月-XNUMX月
95 [。] 179 [。] 150 [。] 101托管的恶意名称服务器2019年XNUMX月-XNUMX月

伊朗 海龟袭击

第一个猜测是伊朗希望成为黑客攻击的幕后黑手 间谍活动。

研究人员指出 黑客 APT34小组 网络间谍活动的背后。 值得注意的是,他的认证过程之间有很多相似之处 乌龟 项目 以及伊朗黑客的WebMask项目。

比较这两个活动的TTP,有很多相似之处。 此外,APT34的目标与其背后团队的目标相同 运动。 没有足够的证据来确认此案,但即使尚未确认,也似乎很有可能。

这两个运动的主要相似点之一 是吗 DNS 劫持. 此外,众所周知,由国家资助的伊朗黑客使用DNS劫持将受害者重定向到攻击站点。 通过分析黑客的TTP,WebMask项目诞生于2016年XNUMX月之后。它至少已被用来攻击阿拉伯联合酋长国的目标。 另外,APT使用了NovinVPS提供程序,但是这是必需的 证书 将其更改为权威DNS。 因此,该活动的目的是收集数据,对于 .

土耳其 海龟袭击

最近的猜测是希望土耳其政府支持在线运动 间谍活动。

根据两名英国官员和一名美国官员的说法,该活动具有 为提高土耳其利益而进行的政府间谍活动。

四个主要功能是:

土耳其内政部拒绝置评。 土耳其高级官员没有立即回应有关竞选的问题,但表示土耳其本身经常是网络攻击的受害者。

攻击时间:希腊-我们的主要目标 广告系列

  • 2019年XNUMX月

上七月10,2019 ICS-第四 (研究所 of 电脑 科学 of 练习 预科 用于 调研 技术), 管理顶级.gr和.el域代码的组织。 的希腊公开承认它遭到了黑客的攻击 19年24月2019日至XNUMX日。

此次漏洞背后的黑客与思科Talos XNUMX月份的报告中提到的Sea Turtle是同一群人。

团队正在使用一种相对较新的方法来进行黑客攻击。 他们没有直接针对受害者,而是违反或获得了进入 域名注册商帐户和托管DNS提供商 他们在哪里修改公司的DNS设置。

通过修改内部服务器的DNS记录, 重新导向 交通 适用于合法申请 公司或网络邮件服务来克隆运行它们的服务器 中间人攻击 并阻止登录凭据。

攻击是短暂的, 持续数小时至数天 而且由于大多数公司没有跟踪DNS设置的更改,因此很难检测到。

海龟团队通常会违反 域名注册商 和管理 DNS提供程序-属于其目标的帐户,他们使用它们来管理各种DNS注册 服务器 和服务。

但是现在 Sea Turtle成功地入侵了整个顶级域服务提供商以实现其目标 -也就是说,针对整个希腊修改整个国家/地区的目标服务器的DNS服务器设置。

一份报告说,海龟队以前曾袭击 NetNod,基于Internet的交换节点 瑞典为ccTLD组织(例如ICS-Forth)提供了DNS服务。

黑客一直保持非法访问权限 来自命令和控制(C2)节点的ICS-Forth网络。 分析此C2节点后,还发现它已用于 访问叙利亚的组织,该地址先前已使用黑客控制的服务器名称ns1 [。] intersecdns [。] com进行了重定向。 因此,事实证明,两者背后 黑客 黑客(希腊和叙利亚)隐藏自己 团队。

根据无争议的信息,涉及的黑客可以访问ICS-Forth管理终端(可能是通过网络钓鱼攻击),然后在该终端上安装了著名的远程访问程序(Teamviewer)。 他们通过Teamviewer使用终端并长期关注管理员,他们以.gr / .el前缀获得了对顶级DNS管理员中央服务器的root访问权限。 通过此访问,他们现在已经获取了所有希腊域名,EPP代码,并能够更改/重定向 他们知道他们想要的任何领域。 现在已知的目标是国家情报局(www.nis.gr),外交部(www.mfa.gr),希腊议会,总理的电子邮件服务器和该国其他重要基础设施。 在24小时内,他们所有的电子邮件都被重定向到黑客服务器,从而产生了电子邮件,官员密码和重要信息! 分析通过Teamviewer软件及其日志进行的访问无法准确识别攻击者的电子踪迹。

但是,这个问题还有一个未公开的层面,SecNews今天将发布。 组织这次攻击的土耳其黑客没收了所有希腊域(* .gr)的所有电子邮件管理器。 购买希腊域名的任何人都将向注册提供者提供联系方式(姓名,姓氏,电话)。 此信息的一部分也可以从ICS-FORTH获得。

这些物品可能是在已知的暗网市场中交换或出售的,以换取经济利益。 结果,观察到2019年XNUMX月至XNUMX月 针对电子邮件的极其强大的垃圾邮件活动 π已在各个.gr域中注册的文件。 谁也从未收到丝毫垃圾邮件。 这主要是关于电子邮件,该电子邮件通知我们的许多同胞,他们正在被黑客入侵,并(错误地)拍摄了照片或图片,并要求他们支付赎金。 这是一个例子:

  • 2020年XNUMX月

17月XNUMX日,土耳其小组 黑客s 叫做“安卡·尼菲勒” 她在周四下午发表的一篇文章中称,对希腊政府网站上周四晚出现的DDoS攻击负责。 Twitter.

根据第一信息,存在可访问性问题 议会,外交部和国家情报局的网站. 雅典证券交易所和财政部网站似乎也存在问题。

政府消息人士证实了这一事实,称问题站点现在可以正常工作。 还采取了措施以确保其平稳运行 网站 以及它们未来免受即将来临的攻击的保护。 根据消息来源,没有发生任何数据间谍活动。

土耳其媒体向大众媒体报道,土耳其黑客入侵希腊政府网站是一项成就。

碰巧与否,几个月前(2019年XNUMX月)成为DDoS攻击受害者的相同网站也成为Sea Turtle监视活动的受害者吗?

海龟袭击: 信息通信技术

最近海龟运动的受害者还包括 阿尔巴尼亚国家情报局, 根据网上的公开记录。 阿尔巴尼亚国家情报局有数百个用户名, 密码 被黑客偷走。

邻国的阿尔巴尼亚情报局说 攻击针对的是非机密基础架构 它不存储或处理被分类为任何级别的“国家机密”的任何信息。

Η 塞浦路斯 也被黑客作为目标. 塞浦路斯政府最近表示, “当局立即意识到袭击事件并能够保护自己。 出于国家安全的原因,我们将不对细节发表评论,“ 他补充说。

袭击 塞浦路斯,希腊,阿尔巴尼亚和叙利亚发生在2018年底或2019年初, 根据互联网上的公共资源。 据有关国家的服务官员说,更广泛的攻击正在进行中,独立研究人员也进行了研究。 网络空间。

另一方面,在土耳其,他们的受害者倒下了 黑客 袭击各种非政府组织, 根据土耳其媒体的报道, 与Fethullah Gulen相关 设在美国 并被指控组织 2016年政变失败.

Ο Fethullah Gulen 公开否认了政变企图。

结论

海龟战役攻击不会很快结束。 Σ根据已发表的报告和独立研究人员的交叉引用,黑客的起源是邻国土耳其。 实际上,这是由政府机构资助的由国家发起的黑客攻击。 背后的黑客似乎制定了周密的攻击计划,并采取了缓慢而成功的步骤。 目标? 对于希望邀请他们加入全球网络战争的土耳其黑客来说,至关重要的国家/地区。 各州如何做好战斗准备? 他们有受过训练的网络攻击吗?

根据我们今天公开的信息,希腊当局必须立即采取行动。 有特定的痕迹可以导致肇事者的出身和身份。 具体来说:

  • 用于创建黑客攻击基础结构的注册域是.com。 这些域名已注册并通过信用卡支付给namecheap提供商。 当局应立即联系提供者,并追踪这些付款背后的个人。
  • 除了使用的IP地址外,还有一些外部提供商(例如Vultr,Bacloud等)再次接受信用卡付款。 黑客使用这些提供程序作为VPS来执行他们想要的重定向
  • 通过使用专用工具(安全跟踪),可以确定使用了哪些IP地址。
  • 值得注意的是,苏丹苏丹军事将领(喀麦隆将军)也被用作中间人-196.29.187.100

一切都表明我们的问题将很快得到解答。

敬请关注SecNews 用于主题和顶尖领域的发展 科技新闻 及时性

离开答案

请输入您发表评论!
请在此输入你的名字

SecNewshttps://www.secnews.gr
在没有栅栏和墙壁的世界中,谁需要盖茨和窗户

实时新闻

iOS 13.5.1:iPhone用户报告电池问题

您最近是否注意到iPhone的任何变化? 例如,也许电池电量很快耗尽了...

Avaddon勒索软件:通过Excel 4.0宏进行的攻击

微软昨天宣布,Avaddon勒索软件本周通过一种古老的技术再次流行。 那个...

苹果:禁止未经许可更新中文应用程序

如果未经政府批准,苹果将禁止开发人员更新中国应用商店中的现有应用。

澳大利亚:成千上万的MyGov帐户在Dark Web上出售

在黑暗的网络上出售了超过3600个MyGov帐户的访问权限,这可能使成千上万的澳大利亚人遭受欺诈和身份盗用。
00:03:03

聚会时间:与您的朋友在线观看电视

派对时间:与您的朋友一起在互联网上看电视,参加与以往不同的派对,观看自己喜欢的节目...

CISA和FBI警告企业Tor的风险

网络安全和基础设施安全局(CISA)和联邦调查局(FBI)已向企业发出有关...的警告。

openSUSE:新的Leap 15.2硬盘已发布

最近,发布了openSUSE操作系统的下一个稳定版本。 根据操作系统的开发团队,...

最受欢迎的恶意软件类型是什么?

研究人员正在寻找最常见的恶意软件类型。 在调查恶意活动期间,网络空间的研究人员将重点放在...

REvil勒索软件:针对Light SA电力公司

REvil勒索软件(也称为Sodinokibi)的运营商侵犯了巴西电力公司Light SA ...

领英:我们的错误是由于iOS问题

LinkedIn的代表昨天告诉ZDNet,iOS应用程序中的错误是造成看似“干扰行为”的原因,该行为是……