ICS-Forth, een organisatie die grote Griekse domeinnamen beheert, is het slachtoffer geworden van een hack. De hackers achter de aanval behoren tot een groep die Cisco Talos in april beschreef: Sea Turtle.
ICS-Forth gaf het beveiligingsincident toe in e-mails die het op 19 april al naar domeineigenaren stuurde, aldus ZDNet. Mogelijk zijn de aanvallen door een buitenlandse staat gesponsord.
De hackersgroep, Sea Turtle, gebruikt een redelijk nieuwe manier om doelwitten aan te vallen. Ze richten hun pijlen namelijk niet direct op hun slachtoffers, maar proberen toegang te krijgen tot accounts bij domeinbeheerders en managed DNS-providers. Vervolgens passen ze de DNS-instellingen van een bedrijf aan.
Op die manier kunnen de hackers verkeer dat bedoeld is voor de legitieme apps of webmail-diensten van een bedrijf omleiden naar gekloonde servers. Daar worden man-in-the-middle-aanvallen uitgevoerd en inloggegevens onderschept. De aanvallen zijn vaak kort van duur en worden niet opgemerkt, omdat bedrijven niet letten op veranderingen in de DNS-instellingen.
Providers hacken
Meestal valt de Sea Turtle-Groep accounts aan bij domeinbeheerders en DNS-providers. Die accounts zijn het eigendom van hun doelwitten. Maar de groep heeft ook al eens een volledige service provider aangevallen, om zo de DNS-instellingen van een bedrijf dat het op het oog had te veranderen.
Het ging in dat geval om NetNod, een internetuitwisselingsknooppunt in Zweden. NetNod biedt onder meer ook DNS-diensten aan voor ccTLD-organisaties, zoals ICS-Forth. Door NetNod te hacken, kon de groep DNS-instellingen voor sa.dnsnode.net aanpassen. Daardoor konden ze de inloggegevens van administrators die domeinen met de TLD van Saudi-Arabië beheren, stelen.
Nu heeft de groep dus een vergelijkbare aanval uitgevoerd, maar dan tegen ICS-Forth. Beveiligingsonderzoekers van Talos hebben de aanval in een rapport omschreven. Helaas zijn er geen details bekend over wat de hackers op het netwerk van ICS-Forth deden, nadat ze toegang hadden gekregen.
2 uur geleden
