Di antara banyak serangan dunia maya yang ditemukan setiap hari, dilaporkan (tetapi tidak pernah diakui secara publik), yang sering dilakukan hingga merugikan perusahaan swasta atau publik besar, salah satunya telah menarik perhatian karena metodologi yang digunakan untuk pengembangannya: yang disebut "Laut Turtle ”, ditemukan oleh tim keamanan IT“ Talos Intelligence ”dari Cisco multinasional Amerika, salah satu yang paling penting di sektornya.
Talos membicarakannya Penyu sebagai serangan yang pertama kali didokumentasikan yang membahayakan sistem DNS.
Serangan itu menargetkan organisasi keamanan nasional, perusahaan energi besar, dan kementerian luar negeri yang berlokasi di Afrika Utara dan Timur Tengah, tetapi untuk berhasil, target sekunder lainnya menjadi sasaran, seperti perusahaan telekomunikasi dan ISP.
Menurut laporan Talos, lebih dari 40 organisasi di 13 negara telah disusupi antara Januari 2017 dan paruh pertama tahun 2019 tetapi tingkat kerusakan yang sebenarnya masih harus diperkirakan karena serangan tersebut belum selesai ...
Apa yang membuat kampanye serangan terhadap sistem DNS ini begitu menyeramkan di mata para pakar Cisco?
Untuk menjawab pertanyaan ini, kita harus mendefinisikan DNS terlebih dahulu.
DNS adalah akronim untuk Domain Name System, sistem yang digunakan untuk menyelesaikan nama host menjadi alamat IP, yaitu, mengaitkan alamat IP (Protokol Internet) dengan nama yang mudah diingat pengguna. Ini adalah salah satu fitur DNS terpenting dan yang dapat kita lihat setiap hari.
Metodologi serangan terdiri dalam mengutak-atik layanan DNS target untuk kemudian mengarahkan pengguna ke server yang dikendalikan oleh penyerang, ini mengarah setelah perolehan kredensial dan kata sandi pengguna yang digunakan untuk mendapatkan akses ke informasi lain.
Semua ini dimungkinkan berkat teknik serangan yang melibatkan penggunaan keduanya tombak phishing bahwa penggunaan mengeksploitasi berbagai aplikasi.
Penyu ia bertindak lama dan diam-diam. Pelaku serangan ini, kata Talos, menggunakan pendekatan unik bahwa layanan DNS tidak terus-menerus dipantau.
Seperti yang dikatakan Talos kepada kami, ada tiga cara yang memungkinkan penyerang dapat mengakses layanan DNS dari organisasi yang terpengaruh:
1. Dengan mengakses registrar DNS (perusahaan yang menyediakan nama domain untuk perusahaan dan mengelola catatan DNS melalui registri, yaitu database yang berisi semua nama domain dan perusahaan yang terkait), melalui perolehan kredensial akses yang dimiliki oleh Pendaftar DNS (organisasi yang terpengaruh);
2. Melalui registrar yang sama, memasukkan registri yang disebutkan sebelumnya dan merusak catatan DNS menggunakanProtokol Penyediaan yang Dapat Diperpanjang (EPP), protokol yang digunakan untuk mengakses pendaftaran. Dengan mendapatkan kunci EPP, penyerang dapat merusak catatan DNS dari pencatat yang ditargetkan sesuka hati;
3. Metode ketiga didasarkan padaserangan langsung pada DNS pendaftar untuk mengakses catatan DNS, The pendaftar mereka adalah bagian penting dari layanan DNS, karena setiap Domain Tingkat Atas didasarkan pada mereka.
Penyu telah bertindak lama dan diam-diam, yang memimpin serangan ini, kata Talos, telah menggunakan pendekatan unik karena layanan DNS tidak terus-menerus dipantau.
Talos menulis laporan ini pada bulan April tahun ini, tetapi ini tidak menghentikan atau memperlambat aktivitas kelompok, sehingga pada bulan Juli Talos menerbitkan pembaruan.
Memang, tampaknya dalam beberapa bulan terakhir teknik serangan lain telah digunakan. Setiap entitas yang diserang mengarahkan permintaan DNS-nya ke server yang dirusak, berbeda untuk setiap pengguna yang dikompromikan yang membuat serangan itu semakin sulit digagalkan dan dilacak.
Karena itu kita dapat mengatakan bahwa ada orang di belakang Penyu itu adalah kelompok tanpa gangguan, mungkin didorong oleh kepentingan nasional dan diberkahi dengan infrastruktur yang luar biasa.
Pentingnya layanan DNS sangat bagus. Seluruh struktur Internet didasarkan pada fungsi yang tepat, dan bersama-sama dengannya, totalitas ekonomi dunia dan layanan yang disediakan oleh setiap masyarakat dan pemerintah.
Untuk alasan ini Talos mengatakan dia sangat menentang metodologi yang digunakan kampanye Penyu (dan organisasi atau negara di baliknya) mempraktikkan serangkaian serangan ini.
Kampanye ini dapat mewakili awal dari serangkaian serangan yang ditujukan untuk merusak sistem DNS dengan cara yang lebih luas dan berpotensi bencana, yang mengarah ke konsekuensi yang dapat mempengaruhi kita masing-masing.
Untuk mempelajari lebih lanjut:
https://blog.talosintelligence.com/2019/04/seaturtle.html
https://blog.talosintelligence.com/2019/07/sea-turtle-keeps-on-swimming....
https://www.cisco.com
https://www.kaspersky.it/resource-center/definitions/spear-phishing
