Verschillende Griekse overheidsinstanties zijn eerder dit jaar het doelwit van dns-hijacking geworden nadat aanvallers het netwerk van de Griekse topleveldomeinbeheerder ICS-Forth wisten te compromitteren. Dat meldt Cisco in een nieuwe analyse over een groep aanvallers genaamd SeaTurtle.
De groep probeert wereldwijd vertrouwelijke gegevens te stelen door dns-instellingen van domeinnamen aan te passen. In het geval van de aanvallen op de Griekse overheid werden de dns-instellingen van verschillende .gr-domeinnamen aangepast. Daardoor werden bezoekers van deze overheidssites doorgestuurd naar websites van de aanvallers. Die konden zo allerlei vertrouwelijke informatie onderscheppen.
Cisco maakte in april al melding van SeaTurtle. Sindsdien zijn de aanvallers nog steeds actief en wisten ze ook het netwerk van ICS-Forth te compromitteren. Hierdoor konden ze van allerlei .gr-domeinnamen de dns-instellingen aanpassen. Drie Griekse overheidsinstanties zouden vervolgens zijn aangevallen. Cisco laat niet weten om welke instanties het gaat.
Daarnaast zouden de aanvallers een nieuwe tactiek gebruiken waarbij de dns-instellingen slechts korte tijd worden aangepast en worden er voor elk slachtoffer aparte hostnames en ip-adressen gebruikt. Bij eerdere aanvallen maakten de aanvallers gebruik van één hostname voor meerdere slachtoffers. De nieuwe tactiek maakt het lastiger voor onderzoekers om de aanvallers te volgen. Bij twee van de aanvallen die wel werden waargenomen onderschepten de aanvallers het verkeer dat naar een e-maildienst ging.
Sins de eerste berichtgeving over de aanvallers zijn meerdere entiteiten slachtoffer geworden. Het gaat om overheidsinstanties, energiebedrijven, denktanks, ngo's en tenminste één luchthaven. De nieuwe slachtoffers bevinden zich in de Verenigde Staten, Zwitserland, Griekenland, Cyprus en Sudan.
De aanvallers hebben verschillende mogelijkheden om de dns-instellingen van een domeinnaam aan te passen. De eerste en meest directe manier is via de registrar met de inloggegevens van de partij die de domeinnaam registreerde. De tweede optie is via een dns-registrar. Het gaat dan bijvoorbeeld om internetproviders, telecomaanbieders of webhosters. Deze registrars beheren via het domeinregistry de dns-records voor hun klanten. Daarnaast kunnen de aanvallers zich ook richten op de TLD-beheerder.
Om geen slachtoffer van dergelijke aanvallen te worden adviseert Cisco om van een "registry lock service" gebruik te maken. Dns-instellingen kunnen dan alleen via een "out-of-band" bericht worden aangepast. In het geval registrars dit niet aanbieden wordt het implementeren van multifactorauthenticatie aangeraden. Tevens wordt het gebruik van een vpn geadviseerd om verbinding met het bedrijfsnetwerk te maken en moeten IMAP-mailservers alleen vanaf het bedrijfsnetwerk toegankelijk zijn en voor gebruikers die via een vpn verbinding maken. Als laatste wordt voor het gebruik van DNSSEC gepleit.
Deze posting is gelocked. Reageren is niet meer mogelijk.