بدافزار لاکپشت دریای، حمله هکرها به DNS

sea turtle

محققان برنامه مخربی به نام “لاکپشت دریایی” کشف کردند که با دستکاری DNS ها، جوامع دولتی و خصوصی کشورهای مختلفی را هدف قرار داده است. این برنامه مخرب در سه ماهه اول سال 2019 حداقل به 40 سازمان در 13 کشور مختلف ضربه زده است. مهاجمان از تاکتیک‌های بسیار پایدار و ابزارهای پیشرفته‌ای برای دسترسی به شبکه ها و سیستم‌ها استفاده می‌کردند.

تاکتیکی که مهاجمان برای حمله پیاده سازی کردند حمله ربودن  (DNS (DNS Hijacking نام دارد. نتیجه ی حمله این است که به جای هدایت کاربران به وب‌سایت‌های درخواستی، آنان را به سایت‌های مورد نظر مهاجم هدایت می کند. مهاجم حمله را با تغییر رکوردهای DNS ، در روترهای آلوده و تنظیمات سرور انجام می‌دهد.

قربانیانی که مورد هدف قرار می گیرند دو گروه هستند. گروه اول سازمان های امنیت ملی، وزارت امور خارجه و سازمان‌های برجسته انرژی، گروه دوم قربانیان ثبت دامنه های متعدد DNS، شرکت های مخابراتی و ارائه دهندگان خدمات اینترنت هستند.

محققان هشدار می‌دهند که حملاتDNS  فعلی از حملات قبلی شدید تر و پیچیده تر شده است.

چگونه حمله به  DNS انجام می شود؟

مهاجمان با به دست آوردن مجوز مدرک شبکه سازمان برای اصلاح سوابق  DNS ، آن ها را دستکاری و جعل می‌کنند.

راه دیگر برای دسترسی به رکوردهای DNS، نفوذ به سیستم های مدیریت DNS است که توسط مراکز مختلف برای دامین های مشتریان، سرویس می‌دهند و دامین خرید و فروش می کنند. رجیستری دامنه از طریق پروتکل ارائه شده Extensible Provisioning Protocol) EPP)  قابل دسترسی است.

در این حالت، مهاجمان یکی از این کلید های EPP  را برای هر یک از پرونده های  DNSمدیریت شده که توسط ثبت کننده به دست می آورند تغییر می‌دهند.

نمودار گستردگی بدافزار لاکپشت دریایی

قربانیان اولیه وثانویه

نمودار زیر نشان می دهد که چگونه مهاجمان برای رسیدن به اهداف نهایی خود در پشت لاکپشت دریایی DNS را تغییر می‌دادند:

نمودار حمله به DNS
نمودار روش حمله

مهاجمان مبارزات دریایی لاکپشت با استفاده از آسیب پذیری شناخته شده و ارسال ایمیل‌های مخرب برای به خطر انداختن و فریب دادن قربانیان در مرحله اولیه استفاده می‌کنند و دسترسی‌های مورد نظر برای تغییر DNS را از سیستم قربانی بدست می‌آورند. هنگامی که دسترسی به شبکه موفقیت آمیز باشد، مهاجم می تواند رکوردهای NS هدفمند  برای سازمان و کاربران را به یک سرور DNS مخرب تغییر دهد. این دسترسی می‌تواند مهاجم را به کاربرانی که برای آن دامنه خاص در سراسر جهان درخواست دادند هدایت کند.

با توجه به تحقیقات Talos، هنگامی که نام سرور کنترل شده برای دامنه هدف ، با یک رکورد «A» جعلی که آدرس آی پی آدرس گره MitM را کنترل می کند، به جای آدرس آی پی مشروع سرویس مورد پرسش قرارگرفت. در بعضی موارد، مهاجمان زمان واقعی (TTL) را به یک ثانیه تغییر می دهند.

بعدها مهاجم یک سرور MitM را ایجاد می‌کند که سرویس‌های قانونی هویت کاربر را جعل می کند و دسترسی حساس بیشتری به سازمان هدف بدست آورد.

برای محافظت بیشتر در برابر این نوع حمله، Talos پیشنهاد می‌کند قبل از هر گونه تغییر در یک رکورد DNS  سازمان از یک سرویس قفل رجیستری استفاده کنید، اگر مشکوک به این نوع نفوذ فعالیت شده باشید، توصیه می کنیم رمز عبور در شبکه را مجددا تنظیم کنید در نهایت، از اصطلاحات مخصوص به دستگاه‌های اینترنتی استفاده کنید. مدیران شبکه می توانند رکوردهایDNS  منفعل را در حوزه های خود نظارت کنند و ناهنجاری ها را شناسایی کنند.

Hackers Launching DNS Hijacking Attack to Gain Access to Telecommunication & ISP Networks