Onda global de sequestros de DNS ronda empresas

As equipes de Resposta a Incidentes e Inteligência da FireEye, empresa de segurança liderada por inteligência, identificaram uma onda de sequestros de Domain Name System (DNS), espécie de malware que substitui a configuração TCP/IP de um computador para um servidor DNS malicioso.

Os redirecionamentos de DNS afetaram dezenas de domínios pertencentes a entidades governamentais, de telecomunicações, provedores de infraestrutura de Internet e instituições comerciais localizadas no Oriente Médio, na África, Europa e América do Norte. A campanha tem como alvo vítimas em todo o mundo, em uma escala praticamente sem precedentes, com alto grau de sucesso.

Pesquisas iniciais sugerem campanha iraniana

Embora a atividade não tenha sido vinculada ainda a nenhum grupo monitorado e a análise de atribuição para a atividade esteja em curso, as evidências técnicas iniciais sugerem que o ator ou os atores responsáveis tenham uma ligação com o Irã.

As informações confidenciais capturadas das entidades visadas seriam de interesse do governo iraniano, com baixo valor financeiro. A campanha emprega algumas táticas tradicionais, mas diferencia-se de outras atividades típicas aplicadas pelos iranianos, pois alavanca o sequestro de DNS em escala.

O(s) ciberatacante(s) utiliza(m) diferentes técnicas para obter uma posição inicialmente e dar sequência à exploração, dependendo do alvo visado. As manipulações de registros de DNS são sofisticadas e podem não ser exclusivas de um único agente de ameaça, uma vez que a atividade abrange prazos, infraestrutura e provedores de serviços distintos. Mesmo que um invasor não consiga obter acesso direto à rede de uma organização, ele ainda pode roubar informações valiosas.

Como se prevenir?

É necessário que algumas táticas sejam implementadas para que uma organização esteja fortalecida>

  • Adicionar autenticação multifator no portal de administração do seu domínio
  • Validar as alterações dos registros A e NS
  • Procurar por certificados SSL relacionados ao domínio e revogar todos os certificados maliciosos
  • Validar os IPs de origem nos logs do OWA / Exchange
  • Realizar uma investigação interna para avaliar se os invasores obtiveram acesso ao ambiente
Share
Published by
Redação
Tags: DNSsegurança
5 anos ago

Recent Posts

DM9 e SoulCode anunciam parceria de capacitação em tecnologia

A agência DM9 e a SoulCode Academy anunciaram essa semana uma parceria para capacitar pessoas…

11 horas ago

SoftwareOne cria BU exclusiva para serviços Microsoft no Brasil

A empresa de origem suíça SoftwareOne anunciou recentemente a criação de uma unidade de negócios…

12 horas ago

CEO da Nutanix revela expectativas da parceria com a Dell

Rajiv Ramaswami, presidente e CEO da Nutanix, subiu ao palco do Next*, evento anual da…

14 horas ago

Neuralink fará segundo teste de implante cerebral

A Neuralink, empresa de neurotecnologia de Elon Musk, teve a aprovação da FDA (Agência de…

14 horas ago

Flexibilidade, inovação e compra da VMware pela Broadcom são motores de crescimento da Nutanix

Com as principais prioridades dos CIOs focadas na modernização de aplicações, inteligência artificial (IA), plataformas…

16 horas ago

IBM anuncia plataforma de código aberto no watsonx

Como forma de aumentar seu compromisso com o ecossistema de IA de código aberto, a…

17 horas ago