jeudi 6 août 2020
Promotion Meilleur VPN 2020
Accueil Hacking FireEye suit actuellement plusieurs groupes d'activités responsables de la manipulation d'enregistrements DNS

FireEye suit actuellement plusieurs groupes d’activités responsables de la manipulation d’enregistrements DNS

Etant donné les recherches menées aujourd’hui par Cisco Talos sur « Sea Turtle », une attaque commanditée par un Etat manipulant les systèmes DNS, veuillez trouver ci-dessous un communiqué de John Hultquist, Directeur des Renseignements chez FireEye, qui explore les renseignements dont dispose FireEye sur de telles intrusions.

Tribune FireEye – FireEye suit actuellement plusieurs groupes d’activités responsables de la manipulation d’enregistrements DNS. Nous avons mentionné quelques-uns de ces groupes sur notre blog publié le 9 janvier 2019 (voir : https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html). Nous estimons avec une confiance modérée qu’un petit groupe de cette activité est mené par un acteur Iranien. Il s’agit de l’activité qui exploite le malware que nous appelons TWOTONE et que TALOS appelle DNSpionage.

Cependant, nous soupçonnons d’autres acteurs, et potentiellement d’autres états, d’être à l’origine d’autres intrusions sans liens qui impliquent des manipulations DNS. Certaines de ces activités étaient également mentionnées dans notre blog de janvier 2019. Nous pensons que cette activité comprenait l’utilisation d’identifiants EPP volés et qu’elle est probablement financée par un état. EPP est un protocole sous-jacent utilisé pour gérer le système DNS.

Ces acteurs réussissent à manipuler les enregistrements DNS au niveau du registraire, bien que nous n’ayons pas observé directement les enregistrements ccTLD être modifiés. Modifier ces enregistrements pourrait permettre aux adversaires de détourner le trafic vers une infrastructure détenue par un acteur, puis de le déchiffrer, l’enregistrer et le transférer vers sa cible prévue. Un acteur pourrait aussi rediriger les victimes vers un malware ou simplement déposer des requêtes pour créer une condition de déni de service.

Ces incidents peuvent être très difficiles à détecter puisque les preuves des changements des enregistrements et des certificats SSL résident en dehors du réseau d’entreprise traditionnel et la sécurité de ces systèmes est assurée par une tierce partie.

Bien que FireEye ait identifié un possible acteur iranien et un acteur supplémentaire distinct décrit dans le blog de janvier 2019, nous suivons également une activité de détournement que nous soupçonnons d’être lié à un ensemble d’acteurs complètement différents. Par exemple, un incident en Israël en mars 2019 impliquait l’utilisation de manipulation DNS. L’acteur a détourné le domaine d’un plugin tiers très utilisé sur les sites web israéliens pour distribuer des ransomwares. Le mécanisme de distribution a échoué mais les utilisateurs étaient redirigés vers une page affichant un message politique.

Nous avons observé cette technique utilisée pour soutenir l’espionnage, le crime, l’hacktivisme et d’autres motivations par des acteurs de différents niveaux de compétences, et nous anticipons que plus d’acteurs adopteront cette technique dans un futur proche. De plus, bien qu’une grande partie de ce que décrit TALOS se concentre sur le Moyen-Orient et l’Afrique du Nord, il n’y a pas de raison de penser que les manipulations DNS se limiteront à une quelconque région.

Si vous avez des questions ou que vous souhaitez parler avec une personne de FireEye, n’hésitez pas à me le faire savoir.

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...

Le VPN sans logs d’HMA adoubé par VerSprite, société indépendante de conseil en cyber-risque

La politique de non-collecte et de non-conservation des données d’HMA a reçu la meilleure note possible, suite à l’évaluation des facteurs relatifs à la vie privée indépendante.

Nom d’entreprise : comment réussir à trouver le meilleur ?

L’un des plus grands casse-têtes des nouveaux entrepreneurs est de choisir un nom qui accroche et vend en même temps leurs produits ou services. Élément de l’identité individuelle de l’entreprise, il reflète l’originalité et la philosophie de celle-ci. Vous vous demandez comment bien choisir un nom pour votre entreprise ? Voici quelques conseils.

Comment se protéger sur un casino en ligne

En Septembre 2018, un jeune de 17 ans a réussi à pirater un casino et à détourner 250 000 euros en un mois. Voici comment éviter au maximum ce désagrément.