Специалисты компании FireEye обнаружили чрезвычайно хитроумную киберпреступную кампанию, в ходе которой хакерская группировка (предположительно из Ирана) переправляет трафик компаний по всему миру через свои серверы, записывая корпоративные учетные данные для дальнейших атак.

Жертвами киберпреступников стали телекоммуникационные компании, интернет-провайдеры, государственные учреждения и коммерческие организации в странах Среднего Востока, Северной Африки, Европы и Северной Америки.

Хотя в FireEye подозревают иранцев, в настоящее время пока еще рано с точностью заявлять, кто стоит за атаками. По словам исследователей, злоумышленники не искали финансовой выгоды, зато атакуемые цели явно интересны иранскому правительству. Кроме того, в одном случае доступ к сетям жертвы был получен с иранского IP-адреса, уже знакомому FireEye по предыдущим атакам, связанным с иранскими кибершпионами.

Согласно отчету специалистов, атаки продолжаются как минимум с января 2017 года. В отличие от большинства кибершпионских группировок, для сбора учетных данных жертв злоумышленники не используют целенаправленный фишинг. Вместо этого они модифицируют записи DNS IT-ресурсов компании с целью видоизменить трафик внутри нее и взламывают ту его часть, которая их больше всего интересует.

В общей сложности группировка использует три различные техники. Первая заключается в изменении записей DNS почтового сервера атакуемой организации. Вторая техника отличается от первой лишь тем, где именно модифицируются записи DNS. Если в первом случае злоумышленники изменяют записи DNS A через учетную запись управляемого провайдера DNS, то во втором случае - записи DNS NS через учетную запись провайдера доменного имени.

Третья техника в некоторых случаях используется как дополнительный этап для первых двух. Способ предполагает развертывание «операционного окна атакующего», отвечающего на DNS-запросы для взломанных DNS-записей. Если адресованный почтовому серверу компании DNS-запрос был отправлен из источника внутри корпоративной сети, пользователи перенаправлялись на подконтрольный злоумышленникам сервер. Запросы, отправленные источником за пределами корпоративной сети, отправлялись сразу на настоящий почтовый сервер компании.

Все три техники базируются на возможности атакующих модифицировать записи DNS, а это могут делать только немногие лица в компании. По словам исследователей, защититься от подобных атак очень сложно, поскольку в большинстве случаев злоумышленники не проникают во внутренние сети атакуемых организаций, и решения безопасности не срабатывают.