Παρασκευή, 15 Ιανουαρίου, 22:22
Αρχική security Πρωτόκολλο DNS-over-HTTPS (DoH): Το νέο "όπλο" Ιρανών APT χάκερς!

Πρωτόκολλο DNS-over-HTTPS (DoH): Το νέο “όπλο” Ιρανών APT χάκερς!

Οι Ιρανοί APT χάκερς της ομάδας που είναι γνωστή ως “Oilrig”, είναι οι πρώτοι που έχουν ενσωματώσει το πρωτόκολλο DNS-over-HTTPS (DoH) στις επιθέσεις τους. Ο Vincente Diaz, αναλυτής malware στην εταιρεία antivirus “Kaspersky”, ανέφερε σε ένα webinar που πραγματοποιήθηκε την προηγούμενη εβδομάδα ότι αυτή η αλλαγή παρατηρήθηκε τον Μάιο, όταν η Oilrig πρόσθεσε το πρωτόκολλο DNS-over-HTTPS (DoH) στο “οπλοστάσιό” της για να ενισχύσει της επιθέσεις της.


Σύμφωνα με τον Diaz, οι Ιρανοί APT χάκερς της “Oilrig” άρχισαν να χρησιμοποιούν ένα νέο εργαλείο, το DNSExfiltrator, στις εισβολές τους σε παραβιασμένα δίκτυα.Το DNSExfiltrator είναι ένα project ανοιχτού κώδικα το οποίο είναι διαθέσιμο στο GitHub και δημιουργεί μυστικά κανάλια επικοινωνίας, διοχετεύοντας δεδομένα και κρύβοντάς τα σε μη τυπικά πρωτόκολλα. Αυτό το εργαλείο μπορεί να μεταφέρει δεδομένα μεταξύ δύο σημείων χρησιμοποιώντας τυπικά αιτήματα DNS, ενώ μπορεί επίσης να χρησιμοποιήσει το νεότερο πρωτόκολλο DoH. Επιπλέον ο Diaz ανέφερε ότι η ομάδα Oilrig, που είναι γνωστή και ως APT34, χρησιμοποιεί το DNSExfiltrator για να μεταφέρει δεδομένα σε εσωτερικά δίκτυα και στη συνέχεια να τα μεταφέρει σε εξωτερικό σημείο.

Πρωτόκολλο DNS-over-HTTPS (DoH)

Επίσης, η Oilrig πιθανότατα χρησιμοποιεί το DoH ως κανάλι απομάκρυνσης, για να αποφύγει τον εντοπισμό ή την παρακολούθηση των δραστηριοτήτων της κατά τη μεταφορά κλεμμένων δεδομένων.
Αυτό συμβαίνει επειδή το πρωτόκολλο DoH είναι ένα ιδανικό κανάλι απομάκρυνσης για δύο λόγους. Πρώτον, είναι ένα νέο πρωτόκολλο που δεν μπορούν να παρακολουθήσουν όλα τα προϊόντα ασφαλείας. Δεύτερον, είναι κρυπτογραφημένο από προεπιλογή, ενώ το DNS είναι καθαρό κείμενο.


Το γεγονός ότι η Oilrig ήταν από τις πρώτες ομάδες APT (Advanced Persistent Threats) – ένας όρος που χρησιμοποιείται για να περιγράψει τις κυβερνητικές hacking ομάδες – που ενσωμάτωσε το DoH στις επιθέσεις της, δεν αποτελεί έκπληξη. Ιστορικά, η ομάδα έχει ασχοληθεί με τεχνικές απομάκρυνσης που βασίζονται σε DNS. Πριν υιοθετήσει το κιτ εργαλείων DNSExfiltrator ανοιχτού κώδικα τον Μάιο, η ομάδα χρησιμοποιούσε ένα προσαρμοσμένο εργαλείο που ονομάζεται DNSpionage τουλάχιστον από το 2018, όπως έχουν επισημάνει σε σχετικές αναφορές τους οι Talos, NSFOCUS και Palo Alto Networks.

Ιρανοί APT χάκερς

Επιπλέον, στην εκστρατεία του Μαΐου, η Kaspersky σημείωσε ότι η Oilrig απομάκρυνε δεδομένα μέσω DoH σε domains που σχετίζονται με την πανδημία του COVID-19. Τον ίδιο μήνα, το Reuters ανέφερε μία phishing εκστρατεία που ενορχηστρώθηκε από αγνώστους Ιρανούς χάκερ, οι οποίοι στόχευσαν τους υπαλλήλους του φαρμακευτικού γίγαντα “Gilead”, που είχε ανακοινώσει εκείνη την περίοδο ότι άρχισε να εργάζεται πάνω στην ανακάλυψη θεραπείας κι εμβολίου για τον COVID-19. Ωστόσο, δεν είναι σαφές εάν αυτά είναι τα ίδια περιστατικά. Προηγούμενες αναφορές έχουν συνδέσει τις περισσότερες ιρανικές APT ομάδες με το Σώμα της Ισλαμικής Επαναστατικής Φρουράς (IRGC), της κορυφαίας στρατιωτικής οντότητας του Ιράν.

Σώμα της Ισλαμικής Επαναστατικής Φρουράς (IRGC) Ιράν

Η Oilrig δεν είναι μόνο η πρώτη APT ομάδα που έγινε γνωστό ότι χρησιμοποίησε το DoH, αλλά κι η πρώτη που το έκανε γενικά αυτό. Το Godlua, ένα Lua-based Linux malware στέλεχος, ήταν το πρώτο που χρησιμοποίησε το DoH ως μέρος του DDoS botnet του τον Ιούλιο του 2019, σύμφωνα με μια έκθεση της Netlab, που ασχολείται με τις απειλές δικτύου για τον Κινεζικό γίγαντα στον κλάδο της κυβερνοασφάλειας “Qihoo 360”.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

Android: Πώς να δείτε ποια apps έχουν πρόσβαση στην τοποθεσία σας

Δεν είναι μυστικό ότι οι εφαρμογές smartphone έχουν τη δυνατότητα πρόσβασης σε πολλά δικαιώματα — εάν τις αφήσετε. Είναι σημαντικό να βεβαιωθείτε...

Η Canon σας επιτρέπει να «τραβάτε φωτογραφίες» από το διάστημα

Αντί να κυκλοφορήσει νέες κάμερες για το CES 2021, η Canon κάνει κάτι διαφορετικό: Σας επιτρέπει να τραβάτε φωτογραφίες από το διάστημα....

Wikipedia vs Big tech: Ποιος πολεμάει την παραπληροφόρηση;

Καθώς η Ημέρα των Εκλογών μετατράπηκε σε Εβδομάδα Εκλογών στις ΗΠΑ, το Facebook, το Twitter και το YouTube προσπαθούσαν να αποτρέψουν την...
00:02:36

Tesla: Καλείται να ανακαλέσει αυτοκίνητα λόγω προβληματικών οθονών

H οθόνη αφής (touchscreen) σε ορισμένα αυτοκίνητα της Tesla φαίνεται να έχει κάποιο πρόβλημα, που θα μπορούσε...

Τα ransomware ευθύνονται για τις μισές παραβιάσεις δεδομένων σε νοσοκομεία

Σχεδόν οι μισές από τις παραβιάσεις δεδομένων που έγιναν σε νοσοκομεία και στον ευρύτερο τομέα της υγειονομικής περίθαλψης οφείλονται σε επιθέσεις ransomware,...

Οι αστρονόμοι μόλις βρήκαν την παλαιότερη υπερμεγέθη μαύρη τρύπα

Ένα κβάζαρ (quasar) ανακαλύφθηκε σε μια σκοτεινή γωνία του διαστήματος - πάνω από 13,03 δισεκατομμύρια έτη φωτός μακριά - και περιέχει μια...

Ποια είναι τα καλύτερα και πιο προσιτά τηλέφωνα 5G για το 2021

Σύντομα η αγορά θα κατακλιστεί με συσκευές 5G μεσαίας κατηγορίας. Όλο αυτό που θα συμβεί θα είναι πραγματικά συναρπαστικό: θα μπορείτε να...

Παραβιάστηκαν επαληθευμένα Twitter accounts σε cryptocurrency scam με το όνομα του Elon Musk!

Το τελευταίο διάστημα, χάκερς παραβιάζουν επαληθευμένα Twitter accounts σε cryptocurrency giveaway scam (απάτη δωρεάς κρυπτονομισμάτων), στο οποίο χρησιμοποιείται το όνομα του CEO...

Classiscam: Απατεώνες «πλαστογραφούν» brands κι εξαπατούν χρήστες Ευρωπαϊκών αγορών!

Δεκάδες εγκληματικές συμμορίες δημοσιεύουν ψεύτικες διαφημίσεις σε δημοφιλείς online αγορές, για να προσελκύσουν ανυποψίαστους χρήστες σε «δόλια» εμπορικά sites ή σε phishing...

iOS 14.4: Θα εμφανίζει ειδοποίηση για τις επισκευές με μη γνήσιες κάμερες

Ξεκινώντας από το iPhone 11, η Apple έχει προσθέσει μια ειδοποίηση στο iOS που λέει στον χρήστη πότε η συσκευή διαθέτει μια...