Трафик под угрозой: хакеры из Sea Turtle взламывают домены отдельных регионов

19 апреля 2019

Группа хакеров, называющих себя Sea Turtle, запустила масштабную компанию по перехвату DNS. Киберпреступники могут взламывать домены верхнего уровня, принадлежащие некоторым странам.

Эксперты по кибербезопасности из Talos обнаружили несколько случаев перехвата DNS хакерами. Sea Turtle уже атаковала 40 организаций, среди которых интернет-провайдеры, телеком-компании и регистраторы доменных имён.

Как предполагают эксперты, основная цель преступников – госведомства. В частности речь идёт о министерствах иностранных дел, оборонных и энергетических предприятиях, а также разведывательных управлениях. Большая часть жертв киберпреступников находится на Ближнем Востоке и в Северной Африке.

По некоторым данным, киберпреступникам уже удалось взломать домены верхнего уровня отдельных регионов.

Трафик под угрозой: хакеры из Sea Turtle взламывают домены отдельных регионов

Американский журнал Wired пишет, что под потенциальной угрозой находится весь трафик, проходящий через скомпрометированные домены.

Хакеры применяют перехват DNS-запросов. Этот метод называется атакой посредника. Мошенники могли править данные, которыми обменивались стороны без их ведома. Так кибершпионы имели доступ к переписке и трафику своих жертв.

Как устроен перехват DNS? Сейчас вы всё поймёте. Когда пользователь заходит на сайт, то запрос поступает на DNS-сервис. Он отвечает за определённый IP-адрес. Так вот, хакеры могут нарушить эту цепочку и перенаправить пользователя IP-адрес, нужный злоумышленику.

Эксперт Talos Крейг Уильямс говорит о том, что система перехвата DNS киберпреступниками в целом подрывает доверие в Сети.

Пока специалистам не удалось установить географическую принадлежность хакеров Sea Turtle. Установлено, что армянский домен .am попал в группу риска, а среди «мишеней» Турция, ОАЭ, Кипр, Ирак, Ливан, Сирия и Армения.