22月11日,星期四,45:XNUMX
调查 研究:他们煽动海龟黑客攻击。 网络战正在进行中?

研究:他们煽动海龟黑客攻击。 网络战正在进行中?

海龟黑客攻击:与土耳其一起躲在网络恐怖主义背后的网络战争?

简要分析

黑客 反对 政府网站 欧洲和中东国家希腊是主要目标之一,引起了全球关注。 SecNews对可能的身份进行了调查 黑客,攻击及其带来的风险。

2017年开始了名为Sea Turtle的黑客攻击活动,演变为危险的网络恐怖主义,可能预示着 网络战争.

黑客最初 袭击了政府组织,能源公司,智囊团(认为 坦克),国际政府组织,机场和 轮廓 名流 北非和中东地区,然后传播到 欧洲 και 美国.

研究:他们煽动海龟黑客攻击。 网络战正在进行中?

早期的推测表明,背后的原因 黑客 广告活动位于 伊朗黑客,因为它们以此类攻击而闻名,最新的攻击对象是欧洲能源公司。

随着攻击的继续,甲板似乎变了叶子, 指着她 土耳其政府 攻击背后。

该活动具有特色,在专家中引起了很大的反响。 a的特征 政府资助的间谍活动 促进土耳其利益。

活动

首先让我们分析一下海洋的本质 运动及其目标。 自2018年XNUMX月以来,海龟运动一直在跟踪, 国家公共和私人机构的主要目标。 它的特点是 DNS 劫持 攻击。

根据到目前为止的数据,大约在大约XNUMX年内发现了攻击 40个国家/地区的13个组织。

攻击者组织严密,并采用复杂的方法使他们能够访问敏感 网络 和系统。 DNS劫持攻击会将用户重定向到恶意网站, 修改它们 DNS名称记录 或其设置 服务器.

该运动似乎 针对两类受害者。 第一类属于国家安全组织,外交部和 能源相关组织。 第二类受害者是DNS管理员,电信公司和互联网服务提供商。

值得注意的是,攻击者的第一个目标是第三方(提供者),后者向其第三方(外包)目标提供服务。

网络战争土耳其人
研究:他们煽动海龟黑客攻击。 网络战正在进行中?

域名解析突袭

什么是DNS 劫持;

DNS劫持,DNS中毒或DNS重定向是破坏域名系统(DNS)查询分析的一种做法。 这可以通过以下方式实现 恶意软件 它替换了计算机的TCP / IP配置,以显示由黑客控制的恶意DNS服务器或修改受信任的DNS服务器的行为,以使其不符合Internet标准。 当然啦 这些修改是出于恶意目的。

可以想象,海龟运动是出于恶意目的进行这些修改的。 特别是:

攻击者 获得他们 证书 管理员的 组织的网络和 修改DNS记录。

否则他们获得 通过DNS管理员访问,谁卖名字 并管理DNS记录。 DNS注册表是可访问的 通过使用可扩展配置协议(EPP)的注册表应用程序。

黑客获取其中一个EPP密钥来修改DNS记录,这些记录由管理员处理。

黑客尝试通过以下方式窃取凭据以访问网络和系统:

  1. 最初尝试控制目标的DNS记录,
  2. 然后将DNS记录修改为 将用户重定向到服务器 这是在黑客的控制下,而不是在真实服务器上
  3. 最终在用户与受控服务器通信时窃取凭据。

通过这些程序,黑客设法访问组织的系统和攻击。

使用新 DNS 劫持 技术

这项新技术很少使用,到目前为止,它们已经被发现 只有两个 实体 来自2018。

在这种情况下,域名的名称服务器记录被修改为将合法用户引向恶意服务器。 受控名称服务器和被劫持的主机名将导致相同的地址 IP 短时间(通常少于24小时)。 在这两种情况下,被劫持的主机名之一都涉及电子邮件服务,黑客通过该电子邮件服务来获取其登录凭据。 受害者。 这种技术的一个极难监控的方面是,受控名称服务器并未用于多种用途,这意味着每个被劫持的实体都有自己的名称服务器主机名和唯一的IP地址。 虽然前面提到的名称服务器域像 ns1 [。] Intersecdns [。] com 被用来定位多个组织。

年轻的 名称服务器 由...控制 黑客

研究:他们煽动海龟黑客攻击。 网络战正在进行中?

rootdn服务器[。] com: 它提供了与以前用作Sea Turtle活动一部分的名称服务器类似的行为模式。 域 rootdnservers [。] com 由NameCheap注册商于5年2019月XNUMX日发布。 到新的 域rootdnservers [。] com 用于针对DNS劫持 三个政府机构 都使用了希腊ccTLD .gr。 劫持很可能是通过访问ICS-Forth网络进行的。

下表列出了与此活动相关联的三个最新的恶意名称服务器( 塔洛斯情报局):

Ho名字IP地址运行状态
ns1 [。] rootdnservers [。] com。45 [。] 32 [。] 100 [。] 62在售
ns2 [。] rootdnservers [。] com。45 [。] 32 [。] 100 [。] 62在售
ns1 [。] intersecdns [。] com95 [。] 179 [。] 150 [。] 101待用
ns2 [。] intersecdns [。] com95 [。] 179 [。] 150 [。] 101待用

与中间人活动相关的新IP:

通过识别目标域,可以识别被劫持的主机名和相应的MitM节点。 黑客执行“证书模拟”策略,即目标主机名提供了 SSL证书 来自其他SSL提供商。 下表是日期和相关IP地址的表格。

出生日期IP地址
13年 2019月 XNUMX日95 [。] 179 [。] 131 [。] 225
16年 2019月 XNUMX日95 [。] 179 [。] 131 [。] 225
11年 2019月 XNUMX日95 [。] 179 [。] 131 [。] 225
11年 2019月 XNUMX日140 [。] 82 [。] 58 [。] 253
10年 2019月 XNUMX日95 [。] 179 [。] 156 [。] 61

违规指标

IP地址描述日期范围
185 [。] 64 [。] 105 [。] 100操作节点3月 - 4月2019
178 [。] 17 [。] 167 [。] 51操作节点六月2019
95 [。] 179 [。] 131 [。] 225Mitm节点四月2019
140 [。] 82 [。] 58 [。] 253Mitm节点四月2019
95 [。] 179 [。] 156 [。] 61Mitm节点四月2019
196 [。] 29 [。] 187 [。] 100Mitm节点十二月2018
188 [。] 226 [。] 192 [。] 35Mitm节点一月2018
ns1 [。] rootdnservers [。] com角色控制的名称服务器四月2019
ns2 [。] rootdnservers [。] com角色控制的名称服务器四月2019
45 [。] 32 [。] 100 [。] 62托管的恶意名称服务器四月2019
ns1 [。] intersecdns [。] com角色控制的名称服务器2019年XNUMX月-XNUMX月
ns2 [。] intersecdns [。] com角色控制的名称服务器2019年XNUMX月-XNUMX月
95 [。] 179 [。] 150 [。] 101托管的恶意名称服务器2019年XNUMX月-XNUMX月

伊朗 海龟袭击

第一个猜测是伊朗希望成为黑客攻击的幕后黑手 间谍活动。

研究人员指出 黑客 APT34小组 网络间谍活动的背后。 值得注意的是,他的认证过程之间有很多相似之处 乌龟 项目 以及伊朗黑客的WebMask项目。

比较这两个活动的TTP,有很多相似之处。 此外,APT34的目标与其背后团队的目标相同 运动。 没有足够的证据来确认此案,但即使尚未确认,也似乎很有可能。

这两个运动的主要相似点之一 是吗 DNS 劫持. 此外,众所周知,由国家资助的伊朗黑客使用DNS劫持将受害者重定向到攻击站点。 通过分析黑客的TTP,WebMask项目诞生于2016年XNUMX月之后。它至少已被用来攻击阿拉伯联合酋长国的目标。 另外,APT使用了NovinVPS提供程序,但是这是必需的 证书 将其更改为权威DNS。 因此,该活动的目的是收集数据,对于 .

土耳其 海龟袭击

最近的猜测是希望土耳其政府支持在线运动 间谍活动。

根据两名英国官员和一名美国官员的说法,该活动具有 为提高土耳其利益而进行的政府间谍活动。

四个主要功能是:

土耳其内政部拒绝置评。 土耳其高级官员没有立即回应有关竞选的问题,但表示土耳其本身经常是网络攻击的受害者。

攻击时间:希腊-我们的主要目标 广告系列

  • 2019年XNUMX月

上七月10,2019 ICS-第四 (研究所 of 电脑 科学 of 练习 预科 用于 调研 技术), 管理顶级.gr和.el域代码的组织。 的希腊公开承认它遭到了黑客的攻击 19年24月2019日至XNUMX日。

此次漏洞背后的黑客与思科Talos XNUMX月份的报告中提到的Sea Turtle是同一群人。

海龟黑客攻击
研究:他们煽动海龟黑客攻击。 网络战正在进行中?

团队正在使用一种相对较新的方法来进行黑客攻击。 他们没有直接针对受害者,而是违反或获得了进入 域名注册商帐户和托管DNS提供商 他们在哪里修改公司的DNS设置。

通过修改内部服务器的DNS记录, 重新导向 交通 适用于合法申请 公司或网络邮件服务来克隆运行它们的服务器 中间人攻击 并阻止登录凭据。

攻击是短暂的, 持续数小时至数天 而且由于大多数公司没有跟踪DNS设置的更改,因此很难检测到。

海龟团队通常会违反 域名注册商 和管理 DNS提供程序-属于其目标的帐户,他们使用它们来管理各种DNS注册 服务器 和服务。

但是现在 Sea Turtle成功地入侵了整个顶级域服务提供商以实现其目标 -也就是说,针对整个希腊修改整个国家/地区的目标服务器的DNS服务器设置。

海龟土耳其土耳其黑客网络战争土耳其海龟黑客攻击

一份报告说,海龟队以前曾袭击 NetNod,基于Internet的交换节点 瑞典为ccTLD组织(例如ICS-Forth)提供了DNS服务。

黑客一直保持非法访问权限 来自命令和控制(C2)节点的ICS-Forth网络。 分析此C2节点后,还发现它已用于 访问叙利亚的组织,该地址先前已使用黑客控制的服务器名称ns1 [。] intersecdns [。] com进行了重定向。 因此,事实证明,两者背后 黑客 黑客(希腊和叙利亚)隐藏自己 团队。

根据无争议的信息,涉及的黑客可以访问ICS-Forth管理终端(可能是通过网络钓鱼攻击),然后在该终端上安装了著名的远程访问程序(Teamviewer)。 他们通过Teamviewer使用终端并长期关注管理员,他们以.gr / .el前缀获得了对顶级DNS管理员中央服务器的root访问权限。 通过此访问,他们现在已经获取了所有希腊域名,EPP代码,并能够更改/重定向 他们知道他们想要的任何领域。 现在已知的目标是国家情报局(www.nis.gr),外交部(www.mfa.gr),希腊议会,总理的电子邮件服务器和该国其他重要基础设施。 在24小时内,他们所有的电子邮件都被重定向到黑客服务器,从而产生了电子邮件,官员密码和重要信息! 分析通过Teamviewer软件及其日志进行的访问无法准确识别攻击者的电子踪迹。

但是,这个问题还有一个未公开的层面,SecNews今天将发布。 组织这次攻击的土耳其黑客没收了所有希腊域(* .gr)的所有电子邮件管理器。 购买希腊域名的任何人都将向注册提供者提供联系方式(姓名,姓氏,电话)。 此信息的一部分也可以从ICS-FORTH获得。

这些物品可能是在已知的暗网市场中交换或出售的,以换取经济利益。 结果,观察到2019年XNUMX月至XNUMX月 针对电子邮件的极其强大的垃圾邮件活动 π已在各个.gr域中注册的文件。 谁也从未收到丝毫垃圾邮件。 这主要是关于电子邮件,该电子邮件通知我们的许多同胞,他们正在被黑客入侵,并(错误地)拍摄了照片或图片,并要求他们支付赎金。 这是一个例子:

  • 2020年XNUMX月

17月XNUMX日,土耳其小组 黑客s 叫做“安卡·尼菲勒” 她在周四下午发表的一篇文章中称,对希腊政府网站上周四晚出现的DDoS攻击负责。 Twitter.

根据第一信息,存在可访问性问题 议会,外交部和国家情报局的网站. 雅典证券交易所和财政部网站似乎也存在问题。

政府消息人士证实了这一事实,称问题站点现在可以正常工作。 还采取了措施以确保其平稳运行 网站 以及它们未来免受即将来临的攻击的保护。 根据消息来源,没有发生任何数据间谍活动。

土耳其媒体向大众媒体报道,土耳其黑客入侵希腊政府网站是一项成就。

碰巧与否,几个月前(2019年XNUMX月)成为DDoS攻击受害者的相同网站也成为Sea Turtle监视活动的受害者吗?

海龟袭击: 信息通信技术

最近海龟运动的受害者还包括 阿尔巴尼亚国家情报局, 根据网上的公开记录。 阿尔巴尼亚国家情报局有数百个用户名, 密码 被黑客偷走。

邻国的阿尔巴尼亚情报局说 攻击针对的是非机密基础架构 它不存储或处理被分类为任何级别的“国家机密”的任何信息。

海龟网络战争土耳其人
研究:他们煽动海龟黑客攻击。 网络战正在进行中?

Η 塞浦路斯 也被黑客作为目标. 塞浦路斯政府最近表示, “当局立即意识到袭击事件并能够保护自己。 出于国家安全的原因,我们将不对细节发表评论,“ 他补充说。

袭击 塞浦路斯,希腊,阿尔巴尼亚和叙利亚发生在2018年底或2019年初, 根据互联网上的公共资源。 据有关国家的服务官员说,更广泛的攻击正在进行中,独立研究人员也进行了研究。 网络空间。

另一方面,在土耳其,他们的受害者倒下了 黑客 袭击各种非政府组织, 根据土耳其媒体的报道, 与Fethullah Gulen相关 设在美国 并被指控组织 2016年政变失败.

Ο Fethullah Gulen 公开否认了政变企图。

结论

海龟战役攻击不会很快结束。 Σ根据已发表的报告和独立研究人员的交叉引用,黑客的起源是邻国土耳其。 实际上,这是由政府机构资助的由国家发起的黑客攻击。 背后的黑客似乎制定了周密的攻击计划,并采取了缓慢而成功的步骤。 目标? 对于希望邀请他们加入全球网络战争的土耳其黑客来说,至关重要的国家/地区。 各州如何做好战斗准备? 他们有受过训练的网络攻击吗?

根据我们今天公开的信息,希腊当局必须立即采取行动。 有特定的痕迹可以导致肇事者的出身和身份。 具体来说:

  • 用于创建黑客攻击基础结构的注册域是.com。 这些域名已注册并通过信用卡支付给namecheap提供商。 当局应立即联系提供者,并追踪这些付款背后的个人。
  • 除了使用的IP地址外,还有一些外部提供商(例如Vultr,Bacloud等)再次接受信用卡付款。 黑客使用这些提供程序作为VPS来执行他们想要的重定向
  • 通过使用专用工具(安全跟踪),可以确定使用了哪些IP地址。
  • 值得注意的是,苏丹苏丹军事将领(喀麦隆将军)也被用作中间人-196.29.187.100

一切都表明我们的问题将很快得到解答。

敬请关注SecNews 用于主题和顶尖领域的发展 科技新闻 及时性

离开答案

请输入您发表评论!
请在此输入你的名字

SecNews
SecNewshttps://www.secnews.gr
在没有栅栏和墙壁的世界中,谁需要盖茨和窗户

实时新闻

联邦调查局:“伊朗通过电子邮件威胁民主党选民投票支持特朗普”

美国联邦调查局(FBI)宣布,伊朗对发送给亲民主党选民的电子邮件构成威胁,警告他们...

折扣价:带有10€的Windows 12.43 Pro和许多优惠!

折扣价:带有10€的Windows 12.43 Pro和许多优惠! COVID-19可使我们远离亲人,并...

黑客冒充Marks&Spencer的首席执行官并窃取银行详细信息

网络犯罪分子假装是一家大型英国跨国公司的老板,目的是欺骗人们并使他们提供信息。

警告! QNAP NAS设备容易受到ZeroLogon漏洞的攻击

根据新的QNAP更新,某些NAS设备容易受到众所周知的危险Windows漏洞ZeroLogon的攻击。

iPhone:如何在连拍模式下拍照

连拍模式是一种很好的方式来确保您可以拍摄任何运动的照片,但是...

如何使用内置的Firefox任务管理器

如果在使用Mozilla Firefox浏览网络时系统上出现性能下降的问题,则可以使用内置的...

网络安全:如何保护您的业务

带有NCSC数据的“普通英语”指南可为零售商提供建议,以帮助他们解决...

特朗普认为,破解帐户并非易事

美国总统唐纳德·特朗普在本月19日的竞选活动中发表了另一项有争议的声明。

如何在Zoom中关闭相机和麦克风

在调用Zoom时,您可能需要关闭相机视频并使其静音...

如何在iPhone和iPad上创建墙纸

自定义墙纸与自定义应用程序图标和自定义小部件配合得很好。 创建...并不是特别困难。