Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI

Sea Turtle, attacco DNS Hijacking contro enti pubblici e società di sicurezza: i dettagli

Si chiama Sea Turtle l’attacco DNS Hijacking che ha già colpito 40 organizzazioni tra ministeri degli affari esteri, organizzazioni militari, agenzie di intelligence e società energetiche con scopi di spionaggio informatico. Ecco tutto quello che c’è da sapere e i consigli per prevenirlo

19 Apr 2019

Paolo Tarsitano


Si chiama Sea Turtle la nuova minaccia individuata dal dipartimento di Intelligence sulle minacce informatiche e laboratorio di ricerca sulla sicurezza informatica di Cisco. Si tratta di un attacco sofisticato di tipo DNS Hijacking contro i server DNS (Domain Name Server) con il quale i criminal hacker provano ad ottenere un accesso permanente a reti e sistemi sensibili.

A quanto si sa finora dall’analisi delle attività malevoli, l’attacco è iniziato già nel gennaio del 2017 ed è proseguito fino al primo trimestre del 2019. Al momento si hanno notizie di almeno 40 diverse realtà colpite, tra ministeri degli affari esteri, organizzazioni militari, agenzie di intelligence e società energetiche, in 13 diverse nazioni.

Lo scopo dell’attacco sembra essere quello dello spionaggio informatico e finora i criminal hacker si sono concentrati principalmente su obiettivi dislocati in Medio Oriente e Nord Africa. C’è comunque una forte preoccupazione tra gli analisti di sicurezza sul fatto che, dato il successo dell’operazione, i criminal hacker decidano di estendere l’attacco a livello globale.

Sea Turtle: cos’è e come funziona l’attacco DNS Hijacking

Il Domain Name System (DNS), lo ricordiamo, è il servizio che ci permette di accedere ai siti web digitando nomi di dominio invece di indirizzi IP decisamente poco mnemonici nella barra degli indirizzi di un browser. In poche parole, “traduce” i nomi nella destinazione numerica del server che ospita la pagina web che vogliamo caricare.

Alla luce di questo, un criminal hacker che ottiene l’accesso ai record DNS avrebbe gioco facile nel sostituire gli indirizzi dei server di destinazione in modo che puntino alla propria infrastruttura.

Ottenuto il controllo dei name server responsabili della gestione delle richieste di indirizzi IP associati ai domini web presi di mira, l’attore della minaccia può facilmente indirizzare le vittime verso contenuti ospitati su server dannosi.

Vista la vastità dell’attacco e la particolarità delle organizzazioni pubbliche e private prese di mira, non è escluso che dietro i criminal hacker che stanno portando avanti la campagna malevola Sea Turtle ci sia dietro qualche Stato che finanzia di nascosto tutte le operazioni.

Sea Turtle: dettagli dell’attacco

Per accedere ai record DNS e manipolarli a loro piacimento, i criminal hacker potrebbero aver utilizzato due diverse tecniche.

La prima, che consente di avere accesso diretto ai record è quella che prevede la compromissione delle credenziali di accesso di un amministratore di rete di un’organizzazione target. Questo consentirebbe al criminal hacker di modificare le impostazioni dei DNS a proprio piacimento.

Un secondo metodo utilizzabile per ottenere accesso ai record DNS prevede invece la compromissione di entità terze responsabili di rispondere alle richieste DNS degli utenti: stiamo parlando di società di telecomunicazioni, fornitori di servizi Internet (ISP), società IT, società di registrazione di domini Internet (comprese quelle che gestiscono domini nazionali di primo livello ccTLD) o direttamente un registro DNS (cioè il database di tutti i nomi a dominio registrati sotto un determinato TLD, Top-Level Domain).

Dall’analisi dei ricercatori Cisco sembrerebbe che i criminal hacker che stanno portando avanti la campagna malevola Sea Turtle sono gli stessi che ad inizio anno sono riusciti a portare a termine un altro attacco DNS Hijacking ai danni del register svedese Netnod. In una dichiarazione dell’epoca, NetNod ha dichiarato di non aver subito danni in seguito all’attacco che invece sarebbe servito ai criminal hacker per “catturare i dati di login per i servizi Internet nei paesi al di fuori della Svezia” cambiando i record DNS.

Come vettori di attacco, invece, i criminal hacker hanno utilizzato sia una campagna di tipo spear phishing sia molteplici vulnerabilità già note nei sistemi target, una delle quali risalente addirittura al 2009:

  • CVE-2009-1151: PHP code injection vulnerability affecting phpMyAdmin
  • CVE-2014-6271: RCE (Remote Code Execution) affecting GNU bash system, specifically the SMTP
  • CVE-2017-3881: RCE by an unauthenticated user with elevated privileges Cisco switches
  • CVE-2017-6736: Remote Code Exploit (RCE) for Cisco Integrated Service Router 2811
  • CVE-2017-12617: RCE affecting Apache web servers running Tomcat
  • CVE-2018-0296: Directory traversal allowing unauthorized access to Cisco Adaptive Security Appliances (ASAs) and firewalls
  • CVE-2018-7600: RCE for Website built with Drupal, aka “Drupalgeddon”

Tutte queste vulnerabilità sono state poi utilizzare dai criminal hacker per ottenere l’accesso iniziale ad una rete compromessa e poi muoversi liberamente dentro di essa.

Dopo aver modificato i record DNS, gli ideatori di Sea Turtle hanno avviato un attacco di tipo man-in-the-middle (MitM) per falsificare i servizi legittimi utilizzati dalla vittima con lo scopo di rubargli le credenziali di accesso. Per riuscire nel loro intento e nascondere l’attacco MitM, hanno utilizzato un certificato digitale di tipo X.509 per “forzare” il browser della vittima a visualizzare l’icona del lucchetto indicante una connessione lecita SSL anche se in realtà veniva dirottato su una pagina malevola creata ad hoc dai criminal hacker.

I consigli per difendersi dagli attacchi Sea Turtle

Come abbiamo visto, gli ideatori di Sea Turtle hanno finora utilizzato due differenti vettori di attacco: una campagna di spear phishing e uno sfruttamento massiccio di alcune vulnerabilità note nelle applicazioni utilizzate nelle organizzazioni e negli enti pubblici presi di mira.

Per difendersi dallo spear phishing è utile seguire queste semplici regole di sicurezza informatica:

  • controllare sempre il mittente delle email e i link contenuti nel testo prima di cliccare qualunque indirizzo; ancora meglio non cliccare sul link, ma copiarlo invece nella barra indirizzi del browser;
  • prima di cliccare su un qualunque link, bisogna verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice, passando il mouse sopra il link stesso;
  • usare solo connessioni sicure, in particolar modo quando si accede a siti sensibili. Come precauzione minima, si consiglia di non sfruttare connessioni sconosciute né tantomeno i Wi-Fi pubblici, senza una password di protezione. Se vogliamo una maggiore sicurezza, abbiamo l’opportunità di installare VPN che possono cifrare il traffico. Perché va ricordato sempre che in caso di utilizzo di una connessione non sicura, i cyber criminali possono reindirizzarci, senza essere visti, a pagine di phishing;
  • controllare che la connessione sia HTTPS e verificare il nome del dominio all’apertura di una pagina. Questi fattori sono importanti soprattutto quando si usano siti che contengono informazioni sensibili, come pagine per l’online banking, i negozi online, i social media e via discorrendo;
  • non condividere mai i propri dati sensibili con una terza parte. Le compagnie ufficiali non chiedono mai informazioni del genere via email.

Per evitare, invece, che i criminal hacker riescano a sfruttare vulnerabilità note per penetrare nei sistemi informativi target è ovviamente di fondamentale importanza aggiornare il sistema operativo e tutte le applicazioni non appena i produttori rilasciano le relative patch di sicurezza.

Infine, gli stessi responsabili della sicurezza di Netnod hanno indicato alcuni utili consigli per prevenire attacchi di tipo DNS Hijacking:

  • utilizzare il protocollo DNSSEC;
  • utilizzare funzioni di sicurezza come il blocco del registro di sistema e simili che possono proteggere i nomi di dominio da possibili modifiche;
  • utilizzare le liste di controllo accessi per le applicazioni, il traffico Internet e il loro monitoraggio;
  • utilizzare l’autenticazione a 2 fattori e richiedere che sia utilizzata da tutti gli utenti, anche quelli esterni che per qualunque motivo accedono alla rete e alle risorse aziendali;
  • utilizzare password uniche e gestori di password;
  • esaminare gli estratti conti aperti con le società che forniscono il servizio DNS e altri fornitori;
  • monitorare i certificati digitali utilizzati e servirsi del Certificate Transparency Log per verificarne sempre l’autenticità.
@RIPRODUZIONE RISERVATA

Articolo 1 di 5