Los hackers patrocinados por el estado comprometieron a ICS-Forth (Instituto de Ciencias de la Computación de la Fundación para la Investigación y la Tecnología), organización que administra los dominios de nivel superior para Grecia (.gr y .el) en abril de este año. (Esta organización es como NIC Chile pero en Grecia). Los perpetradores detrás del hackeo son el mismo grupo que anteriormente comprometió al menos a 40 organizaciones diferentes en 13 países diferentes durante la campaña apodada Sea Turtle por investigadores de seguridad.
En abril de 2019, el equipo de Cisco Talos publicó un extenso informe que describe la campaña, pero a pesar de la exposición de sus actividades, parece que los hackers no cesaron la operación. La nueva evidencia sugiere que el actor de amenazas ha cambiado a una nueva infraestructura y está utilizando otra técnica de secuestro de DNS.
El grupo Sea Turtle utiliza un enfoque interesante para vulnerar objetivos. En lugar de dirigirse directamente a las víctimas, comprometen las cuentas en los registradores de dominios y los proveedores de DNS administrados y cambian la configuración de DNS de una empresa redirigiendo el tráfico destinado a las aplicaciones legítimas de una organización o los servicios de correo web a servidores bajo su control donde pueden llevar ataques de intermediarios y capturar credenciales de inicio de sesión. Por lo general, los ataques duran solo unas pocas horas o días y son difíciles de detectar debido al hecho de que la mayoría de las compañías no monitorean las modificaciones hechas a la configuración del DNS.
Según un nuevo informe de Cisco Talos, el grupo Sea turtles utilizó un enfoque similar en el ataque contra la red de ICS-Forth. Los investigadores no revelaron muchos detalles del ataque, aparte de que los piratas informáticos mantuvieron el acceso a la red durante otros cinco días después de que ICS-Forth reveló públicamente el incidente el 19 de abril. Por el momento, no está claro qué hicieron los atacantes en la red una vez obtuvieron acceso a los sistemas de ICS-Forth y cuáles eran los nombres de dominio para los cuales los piratas informáticos cambiaron la configuración de DNS.
“La telemetría de Cisco confirmó que los actores detrás de Sea Turtle mantuvieron el acceso a la red ICS-Forth desde un nodo de comando y control operacional (C2). Nuestra telemetría indica que los actores mantuvieron el acceso a la red de ICS-Forth al menos el 24 de abril, cinco días después de la publicación de la declaración. Tras el análisis de este nodo C2 operativo, determinamos que también se usó para acceder a una organización en Siria que se redirigió previamente utilizando el servidor de nombres controlado por el actor ns1 [.] Intersecdns [.] Com. Esto indica que los mismos actores de amenaza estaban detrás de ambas operaciones ”, dijeron los investigadores.
En cuanto a la nueva técnica de secuestro de DNS que el grupo estaba aprovechando en los ataques recientes, Cisco Talos dijo que es similar a los métodos utilizados anteriormente en que los actores de amenazas comprometen los registros del servidor de nombres y responden a las solicitudes de DNS con registros A falsificados. Los expertos también señalaron que esta técnica rara vez se utiliza y solo se ha observado en algunas operaciones altamente específicas. Además, Talos dijo que identificaron nuevas víctimas ubicadas en países como Sudán, Suiza y los Estados Unidos. La lista de objetivos incluye organizaciones gubernamentales, compañías de energía, grupos de reflexión, organizaciones internacionales no gubernamentales y al menos un aeropuerto.
Foto: CISCO
