资讯公告
  • 你的位置:
  • 首页
  • >
  • 资讯公告
  • >
  • 安全
  • >
  • 黑客攻击了希腊的.gr域名注册商
黑客攻击了希腊的.gr域名注册商
发布时间:2019-07-11 发布者:FebHost

ICS-Forth代表研究和技术基金会计算机科学研究所,于4月19日公开承认其发送给域名所有者的电子邮件中的安全事件,并声称遭受了黑客的疯狂攻击。


Sea Turtle组织为主要的攻击者

这次攻击背后的黑客与4月份思科Talos报告中详述的相同,该公司名为Sea Turtle,该小组使用一种相对新颖的方法来攻击目标,他们不会直接攻击受害者,而是会破坏或访问域名注册商和托管DNS提供商的帐户,他们会修改域名的DNS设置。


通过修改内部服务器的DNS记录,他们将用于企业合法应用程序或Webmail服务的流量重定向到克隆服务器,在那里他们执行中间人攻击并拦截登录凭据。


攻击是短暂的,持续数小时到数天,由于大多数公司不关注对DNS设置所做的更改,因此难以察觉。

关于这个黑客组织活动的报告已经由FireEye,Crowdstrike和Cisco Talos按顺序发布,FireEye将这些攻击归咎于伊朗政府的关系,而Crowdstrike和Cisco Talos尚未对攻击做出任何归属,在美国国土安全部和英国NCSC机构也发布了关于该集团的新战术安全警报。


一个无耻的攻击者Sea Turtle

从上面的链接报告中,对于大多数攻击,Sea Turtle组织通常会破坏域名注册商和托管DNS提供商的帐户 - 他们的目标是拥有帐户,用于管理各种服务器和服务的DNS条目。


然而,Sea Turtle并没有回避攻击整个服务提供商以获得它想要的东西 - 即修改目标公司的服务器DNS设置。


思科Talos团队在其第一份报告中表示,Sea Turtle团队攻击了NetNod,这是一个位于瑞典的互联网交换节点,除此之外,它还为ccTLD组织提供DNS服务 - 比如 ICS-Forth。


“使用此访问权限,威胁参与者能够操纵sa1 [。] dnsnode [。] net的DNS记录。此重定向允许攻击者获取使用沙特阿拉伯TLD(.sa)管理域名的管理员凭据, “Cisco Talos研究人员当时表示。


对ICS-FORTH的攻击的谜底仍然未被解开

现在,在今天发布的一份新报告中,Talos研究人员表示,Sea Trutle黑客已经取消了类似的攻击,但这次是针对ICS-Forth。


不幸的是,这一次,Talos团队没有任何关于黑客在获得其系统访问权后在ICS-Forth网络上所做的事情的细节。目前,黑客改变DNS设置的域名仍然是一个谜,但Talos表示,在ICS-Forth公开披露此事件后,黑客还控制了系统五天的访问权限。





购物车