Des chercheurs de l'unité de cybersécurité Talos de Cisco ont découvert un nouveau groupe de pirates qui ciblent 40 géants gouvernementaux et des services de renseignement, de télécommunications et d'Internet dans 13 pays depuis plus de deux ans. Cette nouvelle campagne présente cependant certaines similitudes avec DNSpionage, qui redirige les utilisateurs vers des sites Web légitimes. Pour leur permettre de voler leurs mots de passe, les chercheurs ont évalué avec confiance la campagne «Sea Turtle» comme une nouvelle opération distincte. Sea Turtle cible les entreprises en détournant leur DNS en pointant le nom de domaine d'une cible vers des réseaux malveillants. La technique d'usurpation d'identité utilisée par les pirates informatiques derrière la campagne exploite des vulnérabilités DNS de longue date qui peuvent être utilisées par des victimes sans méfiance pour imputer leurs informations d'identité à de fausses pages de connexion. Sea Turtles Marine Attacks Les tortues travaillent d'abord en engageant une cible à l'aide du harpon pour établir un pied dans leur filet. Les vulnérabilités connues sont utilisées pour cibler les serveurs et les routeurs afin qu'ils se déplacent latéralement dans le réseau de l'entreprise pour obtenir des mots de passe spécifiques au réseau. Ces informations d'identification sont utilisées pour pointer vers le bureau d'enregistrement DNS d'une organisation lors de la mise à jour de ses enregistrements afin que son nom de domaine pointe vers son adresse IP et vers un serveur. Contrôlé par des pirates. Les pirates utilisent ensuite une opération d'interception pour emprunter l'identité des pages de connexion et obtenir des informations d'identification supplémentaires à porter vers un réseau d'entreprise. En utilisant leur propre certificat HTTPS pour le domaine cible, les attaquants peuvent donner l'impression authentique à un serveur malveillant. Selon Talos, les pirates ont utilisé cette technique pour compromettre le fournisseur DNS suédois Netnod, ainsi que l'un des 13 serveurs racine qui alimentent le serveur mondial. Infrastructure DNS. Les pirates ont également pu accéder au bureau d'enregistrement qui gère les domaines de premier niveau de l'Arménie en utilisant une tactique similaire. Bien que Talos n'ait pas révélé le statut derrière le groupe, ses chercheurs affirment que la tortue est «hautement capable». a fourni des instructions d'atténuation dans un article de blog, indiquant que "Talos suggère d'utiliser un service de verrouillage de journal, qui nécessitera un message hors bande avant que des modifications ne puissent y être apportées." Enregistrement DNS d'une entreprise. Si votre bureau d'enregistrement ne propose pas de service de verrouillage d'enregistrement, nous vous recommandons de mettre en œuvre une authentification multifacteur, telle que DUO, pour accéder aux enregistrements DNS de votre entreprise. Si vous pensez avoir été soumis à ce type d'intrusion d'activité, nous vous recommandons de définir une réinitialisation de mot de passe à l'échelle du réseau, de préférence à partir du réseau. un ordinateur sur un réseau approuvé Enfin, nous vous recommandons d'appliquer des correctifs, en particulier sur les ordinateurs connectés à Internet. Les administrateurs réseau peuvent surveiller les enregistrements DNS passifs dans leurs domaines pour détecter les anomalies.