Киберпреступники изобрели схему взлома без фишинга

Команда реагирования на инциденты ИБ FireEye выявили волну взлома DNS, которая затронула десятки доменов, принадлежащих правительству, телекоммуникационным компаниям и объектам инфраструктуры на Ближнем Востоке,Северной Африке, Европе и Северной Америке. Хотя в настоящее время эта деятельность не связана с какой-либо группировкой, первоначальные исследования показывают, что субъекты, ответственные за это, имеют связь с Ираном. 

По отчету FireEye, атаки продолжаются как минимум с января 2017 года. В отличие от большинства кибершпионских группировок, для сбора учетных данных жертв злоумышленники не используют целенаправленный фишинг.Вместо этого они модифицируют записи DNS IT-ресурсов компании с целью видоизменить трафик внутри нее и взламывают ту его часть, которая их больше всего интересует.

В общей сложности группировка использует три различные техники. Первая заключается в изменении записей DNS почтового сервера атакуемой организации.

Схема проникновения выглядит следующим образом

  • Злоумышленник входит в PXY1 — прокси-сервер, используемый для выполнения просмотра и как переход к другой инфраструктуре.
  • Злоумышленник входит в панель администрирования поставщика DNS, используя ранее скомпрометированные учетные данные.
  • Запись A (например, mail[.]жертва.[]com) В настоящее время указывает на 192.168.100.100.
  • Злоумышленник изменяет запись A и указывает на 10.20.30.40 (OP1).
  • Злоумышленник регистрирует в PXY1 к ФП1.
  • Прокси реализован для прослушивания всех открытых портов, зеркалирования почты[.]жертва.[]com.
  • Балансировщик нагрузки указывает на 192.168.100.100 [mail[.]жертва.[]com] для прохождения пользовательского трафика.
  • certbot используется для создания сертификата Let’s Encrypt для mail[.]жертва.[]com

Вторая техника отличается от первой лишь тем, где именно модифицируются записи DNS. Если в первом случае злоумышленники изменяют записи DNS через учетную запись управляемого провайдера DNS, то во втором случае – записи DNS NS через учетную запись провайдера доменного имени.

Третья техника в некоторых случаях используется как дополнительный этап для первых двух. Способ предполагает развертывание «операционного окна атакующего», отвечающего на DNS-запросы для взломанных DNS-записей. Если адресованный почтовому серверу компании DNS-запрос был отправлен из источника внутри корпоративной сети, пользователи перенаправлялись на подконтрольный злоумышленникам сервер. Запросы, отправленные источником за пределами корпоративной сети, отправлялись сразу на настоящий почтовый сервер компании.

Все три техники базируются на возможности атакующих модифицировать записи DNS, а это могут делать только немногие лица в компании. По словам исследователей, защититься от подобных атак очень сложно, поскольку в большинстве случаев злоумышленники не проникают во внутренние сети атакуемых организаций, и решения безопасности не срабатывают.

по материалам securitylab.ru