Tortuga marina: ataque a toda la estructura de Internet

(Para Francesco Rugolo)
12/08/19

Entre los numerosos ataques cibernéticos que se descubren, informan (pero nunca se admiten públicamente), a menudo en detrimento de grandes empresas privadas o públicas, uno en particular ha llamado la atención debido a los métodos utilizados para llevarlo a cabo: el llamado "Mar Turtle ”, descubierta por el equipo de seguridad informática“ Talos Intelligence ”de la multinacional estadounidense Cisco, una de las más importantes en su sector.

Talos habla de eso Tortuga marina como el primer ataque documentado que comprometió los sistemas DNS.

El ataque se dirigió a organizaciones de seguridad nacional, grandes compañías de energía y ministerios de asuntos exteriores ubicados en el norte de África y Medio Oriente, pero para tener éxito, se atacaron otros objetivos secundarios, como las empresas de telecomunicaciones y los ISP.

Según el informe de Talos, más de las organizaciones 40 en los países 13 se vieron comprometidas entre enero del 2017 y la primera mitad del 2019, pero la verdadera magnitud de los daños aún no se ha estimado ya que el ataque aún no se ha completado ...

¿Qué hace que esta campaña de ataque a los sistemas DNS sea tan aterradora a los ojos de los expertos de Cisco?

Para responder a esta pregunta, primero debemos definir DNS.
DNS es el acrónimo de Sistema de nombres de dominio, el sistema que se utiliza para resolver nombres de host en direcciones IP, es decir, para asociar una dirección IP (Protocolo de Internet) con un nombre fácil de usar. Esta es una de las características DNS más importantes que podemos ver todos los días.

La metodología del ataque consiste en alterar los servicios DNS del objetivo para luego redirigir a un usuario a un servidor controlado por el atacante, esto lleva a la adquisición de credenciales y contraseñas de los usuarios que se utilizan para obtener acceso a otra información.

Todo esto ha sido posible gracias a técnicas de ataque que implican el uso de ambos spear phishing que el uso de explotar de varias aplicaciones.
Tortuga marina actuó largo y discreto. Quien trajo este ataque, dice Talos, utilizó un enfoque único ya que los servicios de DNS no son monitoreados constantemente.

Como nos dice Talos, hay tres formas posibles en que los atacantes pueden acceder a los servicios DNS de las organizaciones afectadas:
1. Al acceder al registrador DNS (empresa que proporciona nombres de dominio a empresas y gestiona registros DNS a través del registro, es decir, una base de datos que contiene todos los nombres de dominio y las empresas con las que están asociados), mediante la adquisición de credenciales de acceso pertenecientes a Registrante DNS (la organización afectada);
2. A través del mismo registrador, ingresando el registro mencionado anteriormente y manipulando los registros DNS usando elProtocolo de aprovisionamiento extensible (EPP), el protocolo utilizado para acceder a registro. Al obtener las claves EPP, el atacante podría haber alterado los registros DNS del registrador objetivo a voluntad;
3. El tercer método se basa enataque directo a DNS registros para acceder a los registros DNS, la registros son una parte vital del servicio DNS, ya que cada dominio de nivel superior se basa en ellos.

Tortuga marina ha actuado durante mucho tiempo y con discreción, quien dirigió este ataque, dice Talos, ha utilizado un enfoque único ya que los servicios de DNS no son monitoreados constantemente.

Talos escribió este informe en abril de este año, pero esto no detuvo ni ralentizó la actividad del grupo, tanto que en julio Talos publicó una actualización.

De hecho, parece que en los últimos meses se ha utilizado otra técnica de ataque. Cada entidad atacada apuntó sus solicitudes de DNS a un servidor manipulado, diferente para cada usuario comprometido, lo que hace que el ataque sea aún más difícil de frustrar y rastrear.

Por lo tanto, podemos decir que alguien está detrás Tortuga marina Es un grupo sin escrúpulos, probablemente impulsado por intereses nacionales y dotado de infraestructuras notables.

La importancia de los servicios de DNS es excelente. Toda la estructura de Internet se basa en su correcto funcionamiento y, junto con ella, en la totalidad de la economía mundial y los servicios prestados por cada sociedad y gobierno.

Por esta razón, Talos dice que se opone firmemente a las metodologías con las que la campaña Tortuga marina (y la organización o el estado detrás de esto) está poniendo en práctica esta serie de ataques.

Esta campaña podría representar el comienzo de una serie de ataques destinados a manipular el sistema DNS de una manera más extensa y potencialmente desastrosa, lo que llevaría a consecuencias que podrían afectarnos a cada uno de nosotros.

Para obtener más información:

https://blog.talosintelligence.com/2019/04/seaturtle.html
https://blog.talosintelligence.com/2019/07/sea-turtle-keeps-on-swimming....
https://www.cisco.com
https://www.kaspersky.it/resource-center/definitions/spear-phishing