Sea Turtle: ataque a toda la estructura de Internet

(Para Francesco Rugolo)
12/08/19

Entre los numerosos ciberataques que se descubren a diario, denunciados (pero nunca admitidos públicamente), a menudo realizados en detrimento de grandes empresas públicas o privadas, uno en particular ha llamado la atención por las metodologías utilizadas para su desarrollo: el denominado "Sea Turtle ”, descubierto por el equipo de seguridad informática“ Talos Intelligence ”de la multinacional estadounidense Cisco, una de las más importantes de su sector.

Talos habla de eso Tortuga marina como el primer ataque documentado que comprometió los sistemas DNS.

El ataque tuvo como objetivo organizaciones de seguridad nacional, grandes empresas de energía y ministerios de relaciones exteriores ubicadas en el norte de África y Medio Oriente, pero para tener éxito, se apuntó a otros objetivos secundarios, como empresas de telecomunicaciones e ISP.

Según el informe Talos, más de 40 organizaciones en 13 países se vieron comprometidas entre enero de 2017 y la primera mitad de 2019, pero aún se debe estimar la verdadera extensión del daño ya que el ataque aún no ha concluido ...

¿Qué hace que esta campaña de ataque a los sistemas DNS sea tan aterradora a los ojos de los expertos de Cisco?

Para responder a esta pregunta, primero debemos definir DNS.
DNS es el acrónimo de Sistema de nombres de dominio, el sistema que se utiliza para resolver los nombres de host en direcciones IP, es decir, asocia una dirección IP (Protocolo de Internet) con un nombre que es fácil de recordar para el usuario. Esta es una de las características de DNS más importantes y una que podemos ver todos los días.

La metodología del ataque consiste en alterar los servicios DNS del objetivo para luego redirigir a un usuario a un servidor controlado por el atacante, esto lleva a la adquisición de credenciales y contraseñas de los usuarios que se utilizan para obtener acceso a otra información.

Todo esto fue posible gracias a técnicas de ataque que implican el uso de ambos spear phishing que el uso de explotar de varias aplicaciones.
Tortuga marina actuó larga y discretamente. Los perpetradores de este ataque, dice Talos, utilizaron un enfoque único en el sentido de que los servicios DNS no se monitorean constantemente.

Como nos dice Talos, hay tres formas posibles en que los atacantes pueden acceder a los servicios DNS de las organizaciones afectadas:
1. Al acceder al registrador DNS (empresa que proporciona nombres de dominio a empresas y gestiona registros DNS a través del registro, es decir, una base de datos que contiene todos los nombres de dominio y las empresas con las que están asociados), mediante la adquisición de credenciales de acceso pertenecientes a Registrante DNS (la organización afectada);
2. A través del mismo registrador, ingresando el registro mencionado anteriormente y manipulando los registros DNS usando elProtocolo de aprovisionamiento extensible (EPP), el protocolo utilizado para acceder a registro. Al obtener las claves EPP, el atacante podría haber manipulado los registros DNS del registrador objetivo a voluntad;
3. El tercer método se basa enataque directo a DNS registros para acceder a los registros DNS, y registros son una parte vital del servicio DNS, ya que cada dominio de nivel superior se basa en ellos.

Tortuga marina ha actuado durante mucho tiempo y con discreción, quien dirigió este ataque, dice Talos, ha utilizado un enfoque único ya que los servicios de DNS no son monitoreados constantemente.

Talos escribió este informe en abril de este año, pero esto no detuvo ni ralentizó la actividad del grupo, tanto que en julio Talos publicó una actualización.

De hecho, parece que en los últimos meses se ha utilizado otra técnica de ataque. Cada entidad atacada apuntó sus solicitudes de DNS a un servidor manipulado, diferente para cada usuario comprometido, lo que hace que el ataque sea aún más difícil de frustrar y rastrear.

Por lo tanto, podemos decir que alguien está detrás Tortuga marina Es un grupo sin escrúpulos, probablemente impulsado por intereses nacionales y dotado de infraestructuras notables.

La importancia de los servicios de DNS es excelente. Toda la estructura de Internet se basa en su correcto funcionamiento y, junto con ella, en la totalidad de la economía mundial y los servicios prestados por cada sociedad y gobierno.

Por esta razón, Talos dice que se opone firmemente a las metodologías con las que la campaña Tortuga marina (y la organización o el estado detrás de esto) está poniendo en práctica esta serie de ataques.

Esta campaña podría representar el comienzo de una serie de ataques destinados a manipular el sistema DNS de una manera más extensa y potencialmente desastrosa, lo que llevaría a consecuencias que podrían afectarnos a cada uno de nosotros.

Para obtener más información:

https://blog.talosintelligence.com/2019/04/seaturtle.html
https://blog.talosintelligence.com/2019/07/sea-turtle-keeps-on-swimming....
https://www.cisco.com
https://www.kaspersky.it/resource-center/definitions/spear-phishing