Атаки на DNS тривають

Talos, розвідувальна група CISCO, повідомила в своєму блозі, що їх моніторинг показує, що атаки «Sea Turtle» на систему доменних імен (DNS) тривають. Використовувана техніка атаки схожа на попередню: дійові особи скомпрометовують записи сервера імен, щоб стати власником домену. Потім вони надають неправдиву інформацію обраним сторонам (наприклад, центрам сертифікації, користувачам пошти), що призводить до розкриття облікових даних електронної пошти цільових організацій. Ці облікові дані надають початковий доступ до облікових записів електронної пошти жертв і інших ресурсів і є відправною точкою для подальших атак.

У той час як Talos не розкрив цільові організації, вони визначили ці групи в якості основних цілей:

– урядові організації

– енергетичні компанії

– аналітичні центри

– міжнародні неурядові організації

– хоча б один аеропорт

Технології захисту від атак з використанням DNS-атак не набули широкого поширення

Незважаючи на те, що існують технології захисту від злому DNS, вони, мабуть, не використовуються жертвами.

Talos пропонує наступні методи пом’якшення, засновані на презентації Білла Вудкок:

– багатофакторна аутентифікація

– використання служби блокування реєстру для ваших доменних імен

– зробіть DNSSEC підпис ваших доменів або всередині компанії, або за допомогою постачальника послуг DNS, який надає послуги управління ключами DNSSEC.

– зробіть DNSSEC перевірку усіх пошуків DNS

– зробіть сервери електронної пошти за протоколом доступу до Інтернету (IMAP) доступними тільки з корпоративної локальної мережі або VPN

У Швейцарії, наприклад, тільки 4% всіх доменних імен .CH мають підпис DNSSEC, але їх число різко зростає, оскільки все більше і більше DNS-хостерів пропонують підписку DNSSEC своїм клієнтам.

Джерело: securityblog.switch.ch