Киберпреступная группировка Sea Turtle атаковала организацию ICS-Forth, управляющую греческими доменами верхнего уровня .gr и .el.
О группировке Sea Turtle специалисты Cisco Talos впервые рассказали в апреле нынешнего года. Злоумышленники используют весьма необычную технику взлома – вместо того, чтобы атаковать непосредственно жертву, они получают доступ к учетным записям регистратора домена и провайдеров управляемого DNS и меняют настройки DNS компании.
Путем модификации записей DNS внутренних серверов злоумышленники перенаправляют трафик, предназначенный для легитимных приложений и почтовых серверов компании, на подконтрольные им серверы, осуществляют атаку «человек посередине» и перехватывают учетные данные.
Вышеописанные атаки являются непродолжительными (длятся от нескольких часов до нескольких дней) и незаметными (большинство компаний не проверяют настройки DNS на предмет изменений). По данным FireEye, группировка действует в интересах правительства Ирана.
Для того чтобы добраться до жертвы, Sea Turtle не гнушается взламывать сети провайдера целиком. Как сообщалось в первом отчете Cisco Talos, группировка взломала шведскую организацию NetNod, управляющую точкой обмена трафиком. Атака позволила злоумышленникам манипулировать записями DNS для sa1[.]dnsnode[.]net и получить доступ к учетным данным администратора доменов верхнего уровня Саудовской Аравии (.sa)
В новом отчете Cisco Talos сообщает об аналогичной атаке на греческую организацию ICS-Forth. На данный момент исследователи затрудняются сказать, что атакующие делали в сетях ICS-Forth после взлома. Неизвестно также, для каких доменов злоумышленники поменяли настройки DNS. После того, как организация уведомила общественность о взломе, Sea Turtle оставалась в ее сетях еще пять дней.