בין מתקפות הסייבר הרבות המתגלות מדי יום, המדווחות (אך מעולם לא הודו בפומבי), שבוצעו לעתים קרובות לרעת חברות פרטיות או ציבוריות גדולות, אחת במיוחד משכה תשומת לב בשל המתודולוגיות ששימשו לפיתוחו: מה שנקרא "ים צב ", שהתגלה על ידי צוות אבטחת ה- IT" טלוס מודיעין "של סיסקו הרב לאומית האמריקאית, מהחשובים ביותר במגזר שלה.
טלוס מדבר על זה צב ים כהתקפה הראשונה שתועדה אי פעם שפגעה במערכות DNS.
המתקפה פנתה לארגוני ביטחון לאומי, חברות אנרגיה גדולות ומשרדי ענייני חוץ הממוקמים בצפון אפריקה ובמזרח התיכון, אך כדי להצליח, הושגו יעדים משניים אחרים, כמו טלקומונים וספקי אינטרנט.
על פי דו"ח טלוס, מעל 40 ארגונים ב -13 מדינות נפגעו בין ינואר 2017 למחצית הראשונה של 2019, אך עדיין יש להעריך את מידת הנזק האמיתית מכיוון שהמתקפה טרם הסתיימה ...
מה הופך את מסע ההתקפה הזה למערכות DNS למפחיד כל כך בעיני מומחי סיסקו?
כדי לענות על שאלה זו עלינו להגדיר תחילה DNS.
DNS הוא ראשי תיבות של מערכת Domain Name, המערכת המשמשת לפתרון שמות מארח לכתובות IP, כלומר, משייכת כתובת IP (פרוטוקול אינטרנט) לשם שקל לזכור את המשתמש. זו אחת מתכונות ה- DNS החשובות ביותר ואנחנו יכולים לראות מדי יום.
המתודולוגיה של ההתקפה מורכבת משימוש בשירותי ה- DNS של המטרה ואז להפנות משתמש לשרת שנשלט על ידי התוקף, זה מוביל בעקבות רכישת תעודות וסיסמאות של המשתמשים המשמשים לקבל גישה למידע אחר.
כל זה התאפשר בזכות טכניקות התקפה הכוללות שימוש בשתיהן חנית דיוג כי השימוש ב לנצל של יישומים שונים.
צב ים הוא פעל זמן רב ובדיסקרטיות. מבצעי הפיגוע הזה, אומר טלוס, השתמשו בגישה ייחודית בכך ששירותי DNS אינם מנוטרים כל הזמן.
כפי שמספר לנו Talos, ישנן שלוש דרכים אפשריות בהן התוקפים יכולים לגשת לשירותי ה- DNS של הארגונים שנפגעו:
1. על ידי גישה לרשם ה- DNS (חברה המספקת שמות דומיין לחברות ומנהלת רשומות DNS דרך הרישום, כלומר מסד נתונים המכיל את כל שמות הדומיינים והחברות שאיתם הם קשורים), דרך רכישת אישורי גישה השייכים ל רשם DNS (הארגון שהושפע);
2. דרך אותו רשם, להיכנס לרישום שהוזכר קודם ולעיין ברשומות ה- DNS באמצעות ה-פרוטוקול אספקה הניתן להרחבה (EPP), הפרוטוקול המשמש לגישה ל- רישום. על ידי השגת מפתחות ה- EPP, התוקף יכול היה להתעסק ברשומות ה- DNS של הרשם הממוקד כרצונו;
3. השיטה השלישית מבוססתהתקפה ישירה על DNS מרשמי כדי לגשת לרשומות DNS, את מרשמי הם מהווים חלק חיוני משירות ה- DNS, מכיוון שכל תחום ברמה העליונה מבוסס עליהם.
צב ים טאלוס פעל לאורך זמן ובדיסקרטיות, שהוביל את ההתקפה הזו, אומר טלוס, השתמשה בגישה ייחודית מכיוון ששירותי ה- DNS אינם מנוטרים כל העת.
טאלוס כתב את הדו"ח הזה באפריל השנה, אך זה לא הפסיק או האט את פעילות הקבוצה, עד כדי כך שביולי פרסמה טאלוס עדכון.
אכן, נראה שבחודשים האחרונים נעשה שימוש בטכניקת התקפה אחרת. כל ישות שהותקפה הפנתה את בקשות ה- DNS שלה לשרת מפונק, שונה לכל משתמש שנפגע מה שמקשה על ההתקפה לסכל ולעקוב אחריו.
אנו יכולים אפוא לומר שכל אחד מאחוריו צב ים זוהי קבוצה ללא נקיפות מצפון, כנראה מונעת על ידי אינטרסים לאומיים ועם תשתיות מדהימות.
החשיבות של שירותי DNS גדולה. מבנה האינטרנט כולו מבוסס על תפקודם התקין, ויחד איתו, מכלול הכלכלה העולמית והשירותים הניתנים על ידי כל חברה וממשל.
מסיבה זו אומר טלוס כי הוא מתנגד נחרצות למתודולוגיות איתן הקמפיין צב ים (והארגון או המדינה העומדים מאחוריו) מפעילה את סדרת ההתקפות הזו.
קמפיין זה יכול לייצג את תחילתה של סדרה של פיגועים שמטרתם להתמודד עם מערכת ה- DNS בצורה נרחבת ועשויה להיות הרת אסון, מה שיוביל לתוצאות שעלולות להשפיע על כל אחד מאיתנו.
מידע נוסף:
https://blog.talosintelligence.com/2019/04/seaturtle.html
https://blog.talosintelligence.com/2019/07/sea-turtle-keeps-on-swimming....
https://www.cisco.com
https://www.kaspersky.it/resource-center/definitions/spear-phishing
