Se identificó actividad global de secuestros de DNS

Se identificó actividad global de secuestros de DNS
La actividad no se ha vinculado todavía a ningún grupo detectado y el análisis para hacerlo está en proceso.

Las redirecciones de DNS han afectado a decenas de dominios ubicados en Oriente Medio, África, Europa y América del Norte.

Los equipos de Respuesta a Incidentes e Inteligencia de FireEye, identificaron una ola de secuestros de Domain Name System (DNS) especie de malware que reemplaza la configuración TCP/IP de una computadora a un servidor DNS malicioso.

La campaña tiene como objetivo a víctimas en todo el mundo, en una escala prácticamente sin precedentes, con alto grado de éxito. Los expertos de FireEye han dado seguimento a esta actividad desde hace meses, mapeando y comprendiendo las innovadoras tácticas, técnicas y procedimientos (TTP) utilizadas por los ciberatacantes.

Investigaciones iniciales sugieren campaña iraní

Aunque la actividad no se ha vinculado todavía a ningún grupo detectado y el análisis para hacerlo está en proceso, las evidencias técnicas iniciales sugieren que el actor o los actores responsables pueden tener una relación con Irán. La información confidencial capturada de las entidades monitoreadas serían de interés del gobierno iraní, con bajo valor financiero.

La campaña emplea algunas tácticas tradicionales, pero se diferencia de otras actividades típicas aplicadas por los iraníes, pues se apoya en el secuestro de DNS en escala. El ciberatacante  utiliza diferentes técnicas para obtener una posición inicial y dar seguimiento a la exploración, dependiendo del objetivo.

Las manipulaciones de registros de DNS son sofisticadas y pueden no ser exclusivas de un único agente de amenaza, ya que la actividad abarca plazos, infraestructura y proveedores de servicios distintos. Aunque un atacante no puede obtener acceso directo a la red de una organización, si puede robar información valiosa.

Te puede interesar  Los cibercriminales ‘afilan sus garras’ para atacar en eventos globales

Tácticas de prevención

Es necesario que algunas tácticas sean implementadas para que una organización esté protegida:

  • Agregar autenticación multifactor en el portal de administración de su dominio;
  • Validar los cambios en los registros A y NS;
  • Buscar certificados SSL relacionados con el dominio y revocar todos los certificados malintencionados;
  • Validar las IP de origen en los registros de OWA/Exchange;
  • Realizar una investigación interna para evaluar si los invasores obtuvieron acceso al ambiente.

Conclusión

El secuestro de DNS y la escala en que fué utilizado demuestran la continua evolución de las tácticas de los actores con base en Irán. Esta es una visión general de un conjunto de TTP observadas recientemente, que viene afectando a innumerables entidades.

El anuncio entregado por FireEye para actividades de este tipo, permite que los blancos potenciales puedan tomar las medidas defensivas adecuadas.

Print Friendly, PDF & Email

Ultimas Noticias

Deje su comentario

Su dirección de correo no será publicada. Los campos obligatorios están marcados con *

Cancelar respuesta

+ Leídas

+ Comentadas


Videos Destacados


Una investigación explora la próxima era de asociaciones entre humanos y máquinas

Más de 20 expertos globales pronostican cómo las tecnologías emergentes modificarán la sociedad y el trabajo para el año 2030.

Cerrar