اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

حمله ی DNS Hijacking به چندین سازمان در سرتاسر جهان

حمله ی DNS Hijacking به چندین سازمان در سرتاسر جهان

موج تازه‌ای از DNS Hijacking به راه افتاده است که چندین دامین متعلق به نهاد‌های مختلف دولتی، مخابراتی و زیرساخت‌های اینترنتی را هدف قرار می‌دهد. این فعالیت‌ها در مقیاسی بی‌سابقه، با درصد موفقیت بالایی، قربانیانی را در سرتاسر جهان هدف قرار داده است. پژوهشگران امنیتی از شرکت FireEye چندین ماه است در حال ردیابی فعالیت‌های مخرب و مهاجمان مرتبط هستند که میزان موفقیت بالایی در فعالیت‌های مخربشان داشته اند. DNS Hijacking در واقع نوعی حمله‌ی مخرب است که برای هدایت کاربران به وب‌سایت‌های مخرب، زمانی که از طریق Routerهای در معرض خطر یا تنظیمات تغییر یافته‌ی یک سرور به آن وب‌سایت رجوع می‌کنند، مورد استفاده قرار می‌گیرد. به گفته‌ی محققان، این حملات از ژانویه 2017 تا ژانویه 2019 فعال بوده است و با توجه به محدوده‌های زمانی، زیرساخت و ارائه‌کنندگان خدمات، حمله توسط یک مهاجم واحد انجام نشده است.

عاملان خطرآفرین برای دستکاری سوابق DNS از چندین شیوه استفاده نموده‌اند. در شیوه‌ی اول، مهاجمان وارد پنل مدیریتی ارائه‌دهنده‌ی DNS شده و IP دیگری را روی یک آدرس A Record IP ثبت شده، قرار می‌دهند. سپس مهاجمان از Let’s Encrypt Certificate استفاده می‌کنند تا بدون هیچ خطای Certificateی اتصال ایمنی را برقرار کنند.

در روش دوم، مهاجمین به سرور دسترسی پیدا کرده و جزئیات Name Server را تغییر داده و پراکسی‌هایی را به کار می‌گیرند تا به تمام پورت‌ها دسترسی پیدا کنند.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

روش سوم شامل یک DNS Redirector است که به درخواست‌های DNS پاسخ می‌دهد و با Recordهای A و NS که از قبل تغییر داده شده، ترافیک قریانی را به سمت سرورهایی که توسط مهاجمین کنترل می‌شوند هدایت می‌کند.

پژوهشگران بیان کرده‌اند که تعدادی از سازمان‌ها تحت تاثیر این الگوهای دستکاری DNS Record و Certificateهای SSL جعلی قرار گرفته‌اند.