希腊.gr国别域名管理机构被入侵

云计算 2024年11月27日 12:15 1 admin

国家黑客组织已经入侵了希腊ICS-Forth系统，该组织管理希腊的.gr国别域名。ICS-Forth是希腊的组织机构 - \r\n计算机科学研究所(ICS)和研究与技术基金会(FORTH)。

ICS-Forth代表该组织在4月19日发给域名所有者的电子邮件中公开承认了这起安全事件。

漏洞背后的黑客与思科塔洛斯 4 月份报告所详述的相同，该公司将其命名为“海龟·Sea Turtle”。

该组织使用一种相对新颖的方法攻击目标。他们不是直接针对受害者，而是破坏或访问域名注册商和托管DNS服务商的帐户，在其中对公司的DNS设置进行篡改。

通过修改内部服务器的DNS记录，它们将公司合法应用或电子邮件服务的流量重定向到其他服务器，从而执行攻击并拦截登录凭据。

攻击持续时间很短，持续数小时到数天，并且由于大多数公司不注意对DNS设置所做的更改，因此很难检测到攻击。

关于这个黑客组织的活动的报告已经按顺序由火眼、Crowdstrike和思科公司公布。火眼·FireEye将这次袭击归咎于伊朗政府的关系，而Crowdstrike和思科公司则暂时没有对袭击做出任何解释。美国国土安全部和英国Ncsc机构也发布了关于该组织新战术的安全警报。

一个厚颜无耻的黑客团队不回避大目标

从上面的报告中，对于大多数攻击，海龟小组·Sea Turtle通常会破坏域名注册商和托管DNS提供商的帐户 - \r\n他们的目标拥有帐户，用于管理各种服务器和服务的DNS条目。

然而海龟小组·Sea Turtle并没有回避黑客攻击整个服务提供商，以获得它想要的 - 即修改目标公司的服务器DNS设置。

思科团队在其第一份报告中说，海龟小组入侵了NetNod，一个位于瑞典的互联网交换节点，该节点还为ccTLD国家/地区顶级域名组织提供DNS服务，如ICS-Forth。

“使用此访问，威胁参与者能够操作sa1[.]dnsnode[.]net的DNS记录。此重定向允许攻击者获取使用沙特顶级域名(.sa)的管理员凭据”，思科团队研究人员塔洛斯当时表示。

对ICS-Forth的攻击仍然笼罩在神秘之中

在发表的一份新报告中，思科的研究人员塔洛斯说，海龟小组·SeaTrutle黑客们也发布了类似的黑客攻击，但这次是针对ICS-Forth。

不幸的是，这一次思科团队没有任何关于黑客在获得其系统访问权限后在ICS-Forth的网络上做了什么的详细设置。黑客更改DNS设置的域名操作是什么，目前仍是个谜。但思科公司研究人员塔洛斯表示，“在ICS-Forth公开披露这一事件后，黑客又保持了5天的访问权限。”

“然而对ICS-Forth的攻击并不是唯一新的海龟行动” \r\n研究人员塔洛斯说。自从他们上次关于海龟的入侵报告以来，他们还在苏丹、瑞士和美国等国发现了新的受害者。

“这些目标(其DNS设置被篡改以便黑客可以拦截用户凭据)是政府组织、能源公司、智库、国际非政府组织和至少一个机场”。研究人员塔洛斯说还补充说，该集团似乎没有受到春季业务曝光的影响。

研究人员说，海龟正忙于用新的基础设施加倍打击它们的攻击。

“虽然一旦被发现就会放慢速度，但这群人似乎异常厚颜无耻，并且不太可能被阻止前进” 研究人员塔洛斯说。

青岛啤酒启用中文域名.集团