AnasayfatahkikatARAŞTIRMA: Sea Turtle korsan saldırılarını körüklüyorlar. Siber savaş devam ediyor mu?

ARAŞTIRMA: Sea Turtle korsan saldırılarını körüklüyorlar. Siber savaş devam ediyor mu?

DENİZ KAPLUMBAĞA saldırı saldırıları: Türkiye ile siber terörizm arkasına saklanan siber savaş? 

KISA BİR ANALİZ

Deniz Kaplumbağa hack karşı kampanya devlet web siteleri Avrupa ve Orta Doğu'daki devletlerYunanistan'ın kilit hedeflerden biri olmasıyla küresel endişe yarattı. SecNews olası kimlikleri hakkında soruşturma yürüttü hackerlar, saldırılar ve bunlardan kaynaklanan riskler.

Deniz Kaplumbağası olarak bilinen bir saldırı kampanyası 2017'de başladı ve bu durum bir denizci habercisi olabilecek tehlikeli bir siber terörizme dönüştü siber savaş.

Οι hackerlar, başlangıçta, hükümet kuruluşlarına, enerji şirketlerine, düşünce kuruluşlarına (düşünmek tankları), uluslararası hükümet kuruluşları, havaalanları ve yüksek profil ünlüler Kuzey Afrika ve Orta Doğu’da Avrupa και Amerika.

ARAŞTIRMA: Sea Turtle korsan saldırılarını körüklüyorlar. Siber savaş devam ediyor mu?

Erken spekülasyonlar bunun arkasında olduğunu gösterdi hack kampanya yer alıyor İranlı bilgisayar korsanlarıen son Avrupalı ​​enerji şirketlerini hedef alan bu tür saldırılarla ünlü oldukları için.

Saldırılar devam ederken güverte yaprakları değiştiriyor gibi görünüyor, ona işaret Türk Hükümeti saldırıların arkasında.

Kampanya, özellikleri olduğu için uzmanlarda çok fazla gürültü yaptı özellikleri hükümet destekli casusluk Türk çıkarlarının teşviki için.

DENİZ KAPLUMBAĞA KAMPANYA

Önce Deniz'in doğasını analiz edelim Kaplumbağa kampanyası ve hedefleri. Deniz Kaplumbağası kampanyası Ocak 2018'den bu yana Devletlerin kamu ve özel organlarının temel hedefleri. Karakteristik özelliği DNS uçak kaçırma saldırılar.

Şu ana kadar elde edilen verilere göre, yaklaşık olarak 40 ülkede 13 kuruluş.

Saldırganlar son derece organize olmuş ve hassas kişilere erişmelerini sağlayan sofistike yöntemler kullanmışlardır. ağlar ve sistemler. DNS kaçırma saldırısı kullanıcıları kötü amaçlı web sitelerine yönlendirir, onları değiştirmek DNS ad kayıtları veya ayarları sunucu.

Kampanya iki mağdur kategorisini hedefler. Birinci kategori ulusal güvenlik kuruluşları, dışişleri bakanlıkları ve enerji ile ilgili kuruluşlar. Mağdurların ikinci kategorisi DNS yöneticileri, telekomünikasyon şirketleri ve internet servis sağlayıcılarıdır.

Saldırganların ilk hedefinin, üçüncü taraf (dış kaynak) hedeflerine hizmet veren üçüncü taraflar (sağlayıcılar) olduğunu belirtmek gerekir.

siber savaş Türkleri
ARAŞTIRMA: Sea Turtle korsan saldırılarını körüklüyorlar. Siber savaş devam ediyor mu?

DNS HSALDIRI SALDIRILARI

DNS nedir Uçak kaçırma;

DNS korsanlığı, DNS zehirlenmesi veya DNS yeniden yönlendirme, Etki Alanı Adı Sistemi (DNS) sorgularının analizini zayıflatma uygulamasıdır. Bu, ile başarılabilir kötü amaçlı yazılım bir bilgisayarın TCP / IP yapılandırmasının yerini, bilgisayar korsanları tarafından denetlenen kötü amaçlı bir DNS sunucusunu göstermek veya Internet standartlarına uymamak için güvenilir bir DNS sunucusunun davranışını değiştirmek üzere değiştirir. Tabii ki, bu değişiklikler kötü amaçlı amaçlar için yapılır.

Deniz Kaplumbağası kampanyası, bu değişiklikleri tahmin edebileceğimiz kötü amaçlı amaçlar için yapıyor. Özellikle:

Saldırganlar onları elde et Kimlik Bilgileri yöneticinin kuruluşun ağı ve DNS kayıtlarını değiştirme.

Aksi takdirde DNS yöneticisi üzerinden erişim, isimleri satan domain ve DNS kayıtlarını yönetir.  DNS kayıt defterine erişilebilir Genişletilebilir Hazırlama Protokolü'nü (EPP) kullanarak kayıt defteri uygulaması aracılığıyla.

Bilgisayar korsanları, yöneticinin işlediği DNS kayıtlarını değiştirmek için bu EPP anahtarlarından birini alır.

Bilgisayar korsanları, ağlara ve sistemlere erişmek için kimlik bilgilerini şu şekilde çalmaya çalışır:

  1. başlangıçta hedefin DNS kayıtlarını kontrol etmeye çalışıyor,
  2. ardından DNS kayıtlarını kullanıcıları sunuculara yönlendir bilgisayar korsanlarının kontrolü altında olan ve gerçek sunucularda olmayan
  3. ve son olarak kullanıcılar denetlenen sunucuyla iletişim kurduğunda kimlik bilgilerini çalmak.

Bu süreçler sayesinde bilgisayar korsanları kuruluşların sistemlerine erişmeyi ve saldırılar gerçekleştirmeyi başardılar.

Yeni kullan DNS Uçak kaçırma mühendislik

Yeni teknik az miktarda kullanılmış ve şimdiye kadar tanımlanmıştır. sadece iki kişiler 2018.

Bu durumda, etki alanının ad sunucusu sunucu kayıtları, meşru kullanıcıları kötü niyetli sunucuya yönlendirmek için değiştirildi. Kontrol edilen ad sunucusu ve ele geçirilen ana bilgisayar adları aynı adresi gösterecektir IP kısa bir süre için, genellikle 24 saatten az. Her iki durumda da, ele geçirilen ana bilgisayar adlarından biri, bilgisayar korsanlarının oturum açma kimlik bilgilerini ele geçirdiği bir e-posta hizmetine başvurdu. kurbanlar. Bu tekniğin izlemeyi son derece zorlaştıran bir yönü, kontrol edilen ad sunucularının birden fazla amaç için kullanılmamasıdır - yani ele geçirilen her bir varlığın kendi ad sunucusu ana bilgisayar adı ve kendi özel IP adresi vardır. Daha önce bahsedilen ad sunucusu alanları gibi ns1 [.] Intersecdns [.] com birden çok kuruluşu hedeflemek için kullanıldı.

yeni nameserverın tarafından kontrol edildi hackerlar

ARAŞTIRMA: Sea Turtle korsan saldırılarını körüklüyorlar. Siber savaş devam ediyor mu?

kök sunucuları[.] com: Daha önce Deniz Kaplumbağası kampanyasının bir parçası olarak kullanılan ad sunucularına benzer davranış kalıpları sunar. Alan adı rootdnservers [.] com Posted on 5 Nisan, 2019 NameCheap kayıt şirketi. Yenisine domain rootdnservers [.] com karşı DNS ele geçirme için kullanıldı üç devlet kurumu hepsi kullanılmış .gr, Yunan ccTLD. Saldırıların ICS-Forth ağına erişim yoluyla yapılması muhtemeldir.

Aşağıda, bu etkinlikle ilişkilendirilmiş en son üç kötü amaçlı ad sunucusuna sahip bir tablo bulunmaktadır ( Talos istihbaratı):

HostanlarIP adresleriÇalışma Durumu
ns1 [.] rootdnservers [.] com.45 [.] 32 [.] 100 [.] 62Aktif
ns2 [.] rootdnservers [.] com.45 [.] 32 [.] 100 [.] 62Aktif
ns1 [.] intersecdns [.] com95 [.] 179 [.] 150 [.] 101pasif
ns2 [.] intersecdns [.] com95 [.] 179 [.] 150 [.] 101pasif

Ortadaki adam etkinliğiyle ilişkili yeni IP'ler:

Hedeflenen alanların tanımlanmasıyla, ele geçirilen ana bilgisayar adları ve karşılık gelen MitM düğümleri belirlendi. Bilgisayar korsanları "sertifika kimliğine bürünme" taktiğini gerçekleştirdiler, yani hedeflenen ana bilgisayar adı için bir SSL sertifikası farklı bir SSL sağlayıcısından. Aşağıda, tarihleri ​​ve ilişkili IP adreslerini içeren bir tablo bulunmaktadır.

<span style="color:white">Tarih</span>IP adresi
Nisan 13, 201995 [.] 179 [.] 131 [.] 225
Nisan 16, 201995 [.] 179 [.] 131 [.] 225
Nisan 11, 201995 [.] 179 [.] 131 [.] 225
Nisan 11, 2019140 [.] 82 [.] 58 [.] 253
Nisan 10, 201995 [.] 179 [.] 156 [.] 61

İhlal göstergeleri

IP adresitanımlamaTarih aralığı
185 [.] 64 [.] 105 [.] 100Operasyonel DüğümMart - Nisan 2019
178 [.] 17 [.] 167 [.] 51Operasyonel DüğümHaziran 2019
95 [.] 179 [.] 131 [.] 225Mitm DüğümüNisan 2019
140 [.] 82 [.] 58 [.] 253Mitm DüğümüNisan 2019
95 [.] 179 [.] 156 [.] 61Mitm DüğümüNisan 2019
196 [.] 29 [.] 187 [.] 100Mitm DüğümüAralık 2018
188 [.] 226 [.] 192 [.] 35Mitm DüğümüOcak 2018
ns1 [.] rootdnservers [.] comAktör kontrollü ad sunucusuNisan 2019
ns2 [.] rootdnservers [.] comAktör kontrollü ad sunucusuNisan 2019
45 [.] 32 [.] 100 [.] 62Barındırılan kötü amaçlı ad sunucusuNisan 2019
ns1 [.] intersecdns [.] comAktör kontrollü ad sunucusuŞubat - Nisan 2019
ns2 [.] intersecdns [.] comAktör kontrollü ad sunucusuŞubat - Nisan 2019
95 [.] 179 [.] 150 [.] 101Barındırılan kötü amaçlı ad sunucusuŞubat - Temmuz 2019

İRAN VE DENİZ KAPLUMBAĞA SALDIRILARI

İlk spekülasyon, İran'ın saldırıların arkasında olmak istediğidir casusluk kampanyası.

Araştırmacılar O · X½ hack APT34 ekibi siber casusluk kampanyasının arkasında. Kimlik doğrulama süreci arasında birçok benzerlik olduğunu belirtmek gerekir. Deniz kaplumbağa proje ve İranlı bilgisayar korsanlarının WebMask projesi.

İki kampanyanın TTP'lerini karşılaştırdığımızda birçok benzerlik var. Ek olarak, APT34'ün hedefleri arkasındaki ekibin hedefleri ile aynıdır Deniz Kaplumbağa kampanya. Davayı doğrulamak için yeterli kanıt yok, ancak onaylanmamış olsa bile oldukça mümkün görünüyor.

İki kampanyanın temel benzerliklerinden biri bu DNS Uçak kaçırma. Buna ek olarak, devlet tarafından finanse edilen İranlı bilgisayar korsanlarının kurbanları saldırı sitelerine yönlendirmek için DNS Hijacking kullandıkları bilinmektedir. Bilgisayar korsanlarının TTP'lerini analiz eden WebMask projesi Nisan 2016'dan sonra doğdu. Birleşik Arap Emirlikleri'ndeki en azından hedeflere saldırmak için kullanıldı. Ek olarak, APT NovinVPS sağlayıcısını kullandı, ancak gerekliydi kimlik bilgileri Yetkili DNS olarak değiştirmek için. Bu nedenle, kampanyanın amacı veri toplamaktır. Deniz Kaplumbağa.

TÜRKİYE VE DENİZ KAPLUMBAĞA SALDIRILARI

Daha yeni spekülasyonlar Türk hükümetinin çevrimiçi kampanyanın arkasında olmasını istiyor Casusluk.

İki İngiliz yetkiliye ve bir ABD yetkilisine göre, faaliyet bir hükümetin casusluğu, Türk menfaatlerini ilerletmeyi taahhüt etti.

Dört temel özellik şunlardır:

Türkiye İçişleri Bakanlığı yorum yapmaktan kaçındı. Üst düzey bir Türk yetkili kampanyayla ilgili sorulara hemen cevap vermedi, ancak Türkiye'nin kendisinin sıklıkla siber saldırıların kurbanı olduğunu söyledi.

SALDIRIN KRONİĞİ: YUNANİSTAN - ANA HEDEFİ DENİZ KAPLUMBAĞA KAMPANYA

  • NİSAN 2019

10 Temmuz 2019 ICS-İleri (Institute of of Bilgisayar Bilim of the vakıf için Araştırma ve Teknoloji), üst .gr ve .el alan kodlarını yöneten kuruluş. Yunanistan, kamuoyu tarafından saldırıya uğradığını açıkladı 19 - 24 Nisan 2019.

İhlalin arkasındaki bilgisayar korsanları, Nisan ayında bir Deniz Kaplumbağası adlı bir Cisco Talos raporunda belirtilenle aynı gruptur.

deniz kaplumbağası saldırıları
ARAŞTIRMA: Sea Turtle korsan saldırılarını körüklüyorlar. Siber savaş devam ediyor mu?

Ekip, saldırı saldırılarına nispeten yeni bir yaklaşım kullanıyor. Mağdurları doğrudan hedeflemek yerine ihlal ediyor veya erişim elde ediyorlar alan adı kayıt şirketlerine ve yönetilen DNS sağlayıcılarına bir şirketin DNS ayarlarında değişiklik yaparlar.

Dahili sunucular için DNS kayıtlarını değiştirerek, yönlendir trafik yasal uygulamalar için tasarlanmıştır çalıştıkları sunucuları klonlamak için bir şirket veya web posta hizmetleri ortadaki adam saldırıları ve oturum açma kimlik bilgilerini engelleyin.

Saldırılar kısa ömürlü, saatten güne süren ve çoğu şirketin DNS ayarlarındaki değişiklikleri takip etmemesi nedeniyle tespit edilmesi son derece zordur.

Deniz Kaplumbağası ekibi genellikle etki alanı kayıt memurları ve yönetir DNS sağlayıcıları - hedeflerine ait hesaplar, bunları çeşitli DNS kayıtlarını yönetmek için kullanan kişiler sunucular ve hizmetler.

Ancak, şimdi, Sea Turtle, hedefine ulaşmak için tüm Üst Düzey Alan Adı Hizmet Sağlayıcısını hacklemeyi başarıyor Diğer bir deyişle, hedef sunucunun DNS sunucu ayarlarını bir ülkenin tamamı için, Yunanistan'ın tamamı için değiştirmek.

deniz kaplumbağası türkiye türkiye hacker siber savaş türkiye deniz kaplumbağası hack saldırıları

Bir raporda, Deniz Kaplumbağası ekibinin daha önce saldırdığı NetNod, internet değişim düğümü tabanlı Diğer şeylerin yanı sıra, ICS-Forth gibi ccTLD kuruluşları için DNS hizmetleri sağlayan İsveç.

Bilgisayar korsanları, Bir komut ve kontrol (C2) düğümünden ICS-Forth ağı. Bu C2 düğümünü analiz ettikten sonra, Suriye'deki bir kuruluşa erişim, daha önce bilgisayar korsanları tarafından denetlenen sunucu adı ns1 [.] intersecdns [.] com kullanılarak yeniden yönlendirilmişti. Bu nedenle, her ikisinin arkasında hack Hacking (Yunanistan ve Suriye) kendini gizliyor grubudur.

Tartışmasız bilgilere göre, bilgisayar korsanları ICS-Forth yönetici terminaline (muhtemelen bir Phishing saldırısı yoluyla) eriştiler ve burada tanınmış bir uzaktan erişim programı (Teamviewer) kurdular. Terminali Teamviewer aracılığıyla kullanarak ve yöneticiyi uzun süredir takip ederek, .gr / .el öneki için Üst Düzey DNS Yöneticisi merkezi sunucularına kök erişimi kazandılar. Bu erişim sayesinde artık tüm Yunan alan adlarını, EPP kodlarını edindiler ve değiştirebildiler / yönlendirebildiler το istedikleri herhangi bir alanı deneyin. Şu anda bilindiği gibi hedef, Milli İstihbarat Servisi (www.nis.gr), Dışişleri Bakanlığı (www.mfa.gr), Yunanistan Parlamentosu, Başbakanın e-posta sunucusu ve ülkenin diğer kritik altyapılarıydı. 24 saat boyunca, tüm e-postaları bilgisayar korsanlarının sunucularına yönlendirildi, bu da e-postaların, yetkililerin şifrelerinin ve kritik bilgilerin ele geçirilmesine neden oldu! Teamviewer yazılımı ve günlük dosyaları aracılığıyla erişim analizi, saldırganların elektronik izlerini doğru bir şekilde tanımlamadı.

Ancak meselenin kamuya açıklanmamış başka bir boyutu daha var ve SecNews bugün yayınlanıyor. Saldırıyı düzenleyen Türk hackerlar, tüm Yunan alan adlarının tüm e-posta yöneticilerini ele geçirdi (* .gr). Yunan alan adı satın alan herkes, kayıt yaptıran sağlayıcıların iletişim bilgilerini (ad, soyadı, telefon) belirtir. Bu bilgilerin bir kısmı ICS-FORTH'da da mevcuttur.

Bu kalemler büyük olasılıkla bilinen darknet pazarlarında finansal kazanç karşılığında takas edilmiş veya satılmıştır. Sonuç olarak, Temmuz-Eylül 2019 ayları gözlendi. e-postalara karşı son derece güçlü ve spam kampanyalar πbunlar çeşitli .gr alan adlarına kaydedilmiştir. ve en ufak bir spam e-postasını almamış olanlar. Esas olarak birçok vatandaşımızı hacklediğini ve (yanlış) fotoğraf veya resim çektiğini ve fidye ödemelerini istediğini bildiren e-posta ile ilgiliydi. İşte bir örnek:

  • OCAK 2020

17 Ocak'ta Türk takımı Hackers "Anka Neferler" Yunan hükümeti web sitelerinde Perşembe öğleden sonra geç saatlerde meydana gelen DDoS saldırılarının sorumluluğunu üstlendi. Twitter.

İlk bilgilere göre erişilebilirlik sorunları var Xoxi Parlamento, Dışişleri Bakanlığı ve Milli İstihbarat Teşkilatı web siteleri. Atina Menkul Kıymetler Borsası ve Maliye Bakanlığı web sitelerinde de sorunlar olduğu görülüyor.

Hükümet kaynakları, sorunlu sitelerin şu anda düzgün çalıştığını söyleyerek gerçeği doğruladı. Düzgün çalışmalarını sağlamak için önlemler de alındı. Web sitesi ve gelecekleri yaklaşan saldırılardan korunuyor. Kaynaklara göre, hiçbir veri casusluğu meydana gelmedi.

Türk medyası, Türk hackerların Yunan hükümetinin internet sitelerini bir başarı olarak işgal ettiklerini medyada bildirdi.

Tesadüfen ya da değil, DDoS saldırısına kurban giden web siteleri birkaç ay önce (Nisan 2019'da) Deniz Kaplumbağası gözetim kampanyasının kurbanı olmuştu?

DENİZ KAPLUMBAĞA SALDIRILARI: MAĞDURLAR

Deniz Kaplumbağası kampanyasının son kurbanları da, Arnavutluk Devlet İstihbarat Servisi, çevrimiçi kamu kayıtlarına göre. Arnavutluk Devlet İstihbarat Teşkilatı'nın yüzlerce kullanıcı adı vardı ve şifreleri bilgisayar korsanları tarafından çalındı.

Komşu ülkenin Arnavut İstihbarat Servisi saldırılar sınıflandırılmamış altyapıya yönelikti, "devlet sırrı" olarak sınıflandırılan hiçbir bilgiyi herhangi bir seviyede saklamaz veya işlemez.

DENİZ KAPLUMU siber savaş Türkleri
ARAŞTIRMA: Sea Turtle korsan saldırılarını körüklüyorlar. Siber savaş devam ediyor mu?

Η Kıbrıs bilgisayar korsanları tarafından da hedef alındı. Kıbrıs hükümeti geçtiğimiz günlerde "Yetkililer saldırıların hemen farkındaydı ve kendilerini koruyabildi. Ulusal güvenlik nedenleriyle ayrıntılar hakkında yorum yapmayacağız. " diye ekledi.

Saldırılar Kıbrıs, Yunanistan, Arnavutluk ve Suriye 2018'in sonunda veya 2019'un başında oldu, internetteki kamu kaynaklarına göre. İlgili ülkelerdeki servis yetkililerine ve bağımsız araştırmacıların çalışmalarına göre, daha geniş saldırı turları sürüyor. siber alan.

Türkiye'de ise kurbanları düştü hack çeşitli sivil toplum kuruluşlarına saldırılar, Türk basınına göre, Fethullah Gülen ABD merkezli ve onu organize etmekle suçlanıyor 2016'da başarısız darbe girişimi.

Ο Fethullah Gülen darbe girişimini alenen reddetti.

SONUÇ

Deniz Kaplumbağası kampanya saldırıları yakında bitmeyecek. ΣYayınlanan raporlara ve bağımsız araştırmacılar tarafından yapılan çapraz referanslara göre, bilgisayar korsanlarının kökeni komşu ülke olan Türkiye'dir. Aslında, devlet kurumları tarafından finanse edilen devlet destekli saldırı saldırılarıdır. Arkasındaki bilgisayar korsanları, yavaş ve başarılı adımlarla iyi düşünülmüş bir saldırı planına sahip gibi görünüyor. Hedefler? Küresel bir siber savaşa davet etmek isteyen Türk hackerlar için büyük önem taşıyan ülkeler. Devletler savaşa girmeye ne kadar hazırlar? Eğitimli bir siber saldırıları var mı?

Bugün halka açıkladığımız bilgilerden Yunan makamlarının derhal harekete geçmesi gerekiyor. Faillerin kökenine ve kimliğine yol açabilecek belirli izler vardır. özellikle:

  • Hacker saldırı altyapısını oluşturmak için kullandıkları kayıtlı domainler .com'dur. Bu alanlar, Namecheap adlandırma sağlayıcısında kredi kartıyla kaydedilir ve ödenir. Yetkililer derhal belirli sağlayıcıyla iletişime geçmeli (Parayı takip et - alanları satın almak için kullanılan Kredi Kartları) ve bu ödemelerin arkasındaki kişileri bulmalıdır.
  • Kullanılan IP adreslerine ek olarak, yine kredi kartı ödemelerini kabul eden harici sağlayıcılar (örn. Vultr, Bacloud, vb.) Vardır. Hackerlar istedikleri yönlendirmeleri gerçekleştirmek için bu sağlayıcıları VPS olarak kullandılar
  • Özel araçlar (güvenlik izleri) kullanarak hangi IP adreslerinin kullanıldığını belirlemek mümkündür.
  • Sudan askeri merkezinin (Askeri General Komand Hartum) da bir ara düğüm olarak kullanılması dikkat çekicidir - 196.29.187.100

Her şey sorularımızın çok yakında cevaplanacağını gösteriyor.

 SecNews'e bağlı kalın konu ve üst kısımlardaki gelişmeler için teknoloji haberleri şimdiki

SecNewshttps://www.secnews.gr
Gates ve pencerelere ihtiyaç duyan çit ve duvarları olmayan bir dünyada
spot_img

CANLI HABERLER