تقرير من شركة الامن الرقمي فاير اي FireEye يشير الى ان حملة هجمات اختطاف نظام أسماء النطاقات (DNS hijacking) التي استهدفت منظمات من مختلف القطاعات حول العالم ترتبط بأيران


استهدفت الهجمات ، التي ربما نفذتها مجموعة أو أكثر ، وكالات حكومية ومقدمي خدمات الإنترنت ومقدمي خدمات الاتصالات الآخرى ، وكيانات البنية التحتية للإنترنت ، والمنظمات التجارية الحساسة الموجودة في جميع أنحاء الشرق الأوسط وشمال أفريقيا وأمريكا الشمالية وأوروبا.

تمت ملاحظة مجموعات من النشاط من قبل فرق الاستجابة وفرق الاستخبارات التابعة لشركة فاير اي  FireEye  في الفترة ما بين يناير 2017  ويناير / كانون الثاني 2019. وتؤمن الشركة الأمنية فاير اي  و”بثقة معتدلة” بأن إيران تقف وراء الهجمات على أساس الأدلة التقنية وحقيقة أن الحملة تتماشى مع مصالح الحكومة الايرانية.

واكتشف باحثوها أن عناوين بروتوكول الإنترنت (الايبي) IP addresses المستخدمة للوصول إلى الأجهزة التي اعترضت حركة مرور بيانات الشبكة للضحايا كانت مرتبطة بإيران. علاوة على ذلك ، كانت بعض عناوين الايبي  هذه قد استُخدمت سابقاً في هجمات أخرى نسبت إلى جواسيس سيبرانيين ايرانيين.

لم يتم ربط النشاط بأي مجموعة معروفة من قبل ، لكن شركة  فاير اي أشارت إلى أن الحملة مختلفة عن العمليات الأخرى المرتبطة بإيران بسبب استخدام هجوم اختطاف نظام أسماء النطاقات (DNS hijacking) على نطاق واسع.

ووفقًا لـ فاير اي ، فقد استغل المهاجمون خطف اختطاف نظام أسماء النطاقات للحصول على موطئ قدم أولي في شبكة المنظمة المستهدفة.

استخدم المتسللون ثلاث طرق مختلفة للتلاعب بسجلات نظام أسماء النطاقات واعتراض حركة بيانات الضحايا. تتضمن إحدى الطرق تسجيل الدخول إلى واجهة إدارة مجهز نظام أسماء النطاقات باستخدام بيانات المرور المسروقة اوالمخترقة وتغيير سجلات نظام أسماء النطاقاتA  “DNS A records” في محاولة لاعتراض حركة بيانات البريد الإلكتروني. وتتضمن الطريقة الثانية  تغيير سجلات نظام أسماء النطاقات NS  ” DNS NS records ” بعد اختراق حساب مسجل النطاق domain registrar account الخاص بالضحية.

في كلتا الحالتين ، استخدم المهاجمون شهادات تشفير من ليتس انكربت Let’s Encrypt  لتفادي إثارة الشكوك ( ليتس انكربت هي عبارة عن هيئة شهادات Certificate Authority  توفر شهادات X.509 لتشفير طبقة النقل الآمن (TLS) بدون أي تكلفة , وهذه الشهادة صالحة لمدة 90 يومًا ويمكن أن يتم تجديدها في أي وقت). نظرًا للطريقة التي تم بها تحضير الهجمات ، فأن من غير المرجح أن ترى الضحية أي تغييرات وربما لاحظت فقط بعض التأخير البسيط. ينتج عن الهجوم الناجح أسماء المستخدمين وكلمات المرور وبيانات الدخول لحساب النطاق التي يتم جمعها من قبل المهاجمين.

اما الطريقة ثالثة لأختطاف نظام أسماء النطاقات (DNS hijacking) التي تمت ملاحظتها بواسطة شركة  فاير اي  في هذه الحملات تتضمن استخدام معيد توجيه لنظام أسماء النطاقات DNS redirector  وسجلات A و NS تم تغييرها والتلاعب بها سابقًا. في هذه الحالة ، تم إعادة توجيه المستخدمين إلى مواقع وانظمة يتحكم و يسيطر عليها المهاجم.

تقول شركة فاير اي ايضاً إنها لا تزال تحاول تحديد القوة الموجهة الدقيقة لهجوم تعديلات سجل نظام أسماء النطاقات ، ولكنها تعتقد أنه قد تم استخدام تقنيات متعددة ، بما في ذلك التصيّد الاحتيالي. Phishing

“ووضحت شركة فاير اي قائلة:” اختطاف نظام أسماء النطاقات هذا ، والنطاق الذي تم استغلاله فيه ، يعرض التطور المستمر في التكتيكات من الجهات الفاعلة في إيران. هذه نظرة عامة على مجموعة واحدة من TTPs التي لاحظناها مؤخرًا تؤثر على كيانات متعددة. نحن نلقي الضوء عليها الآن حتى تتمكن الأهداف المحتملة من اتخاذ إجراءات دفاعية مناسبة “.

 

 

المصدر:

https://www.securityweek.com/iran-linked-dns-hijacking-attacks-target-organizations-worldwide

ان كان لديكم اي استفسار او سؤال الرجاء مراسلتنا عبر التعليقات في اسفل الشاشة

للتعليقات

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

CyberArabs عضو في:

للتبليغ

سجل في نشرتنا الشهرية

%d مدونون معجبون بهذه: