O grupo de hackers iranianos conhecido como Oilrig tornou-se o primeiro grupo ciber terrorista conhecido a incorporar o protocolo DNS sobre HTTPS em seus ataques roubando de forma silenciosa dados usando um utilitário chamado DNSExfiltrator como parte de suas invasões.
O DNSExfiltrator é um projeto de código aberto disponível no GitHub que cria canais de comunicação secretos, canalizando dados e ocultando-os em protocolos fora do padrão.
Como o nome sugere, a ferramenta pode transferir dados entre dois pontos usando solicitações de DNS clássicas, mas também pode usar o protocolo DNS sobre HTTPS mais recente.
Segundo analistas da Kasperky, a Oilrig, também conhecido como APT34, está usando o DNSExfiltrator para mover dados lateralmente pelas redes internas e, em seguida, enviá-los para um ponto externo, evitando, assim, que suas atividades sejam detectadas ou monitoradas.
Isso ocorre porque o protocoloDNS sobre HTTPS tem duas grandes vantagens. É um protocolo novo que nem todos os produtos de segurança são capazes de monitorar e é criptografado por padrão, ao contrário do DNS, que segue como texto não criptografado.
O grupo tem se interessado ultimamente por pesquisas relacionadas à COVID-19, como o ataque à gigante farmacêutica Gilead, que na época anunciou que começava a trabalhar em um tratamento para a COVID-19.
Relatórios técnicos vinculam a maioria dos grupos de hackers iranianos à Guarda Revolucionária Islâmica, a principal entidade militar do Irã.
Há um interesse muito grande na comunidade de espionagem por dados de pesquisas relacionadas à COVID-19 e esta é mais uma técnica que os administradores de redes devem se atentar.
0 Comentários