12:39
24/12/2014

Od e-maila do przejęcia systemów ICANN

ICANN (Internetowa Korporacja ds. Nadanych Nazw i Numerów) informuje, że padła pod koniec listopada ofiarą kampanii spear-phishingowej. Atakującym udało się skutecznie zinfiltrować część wewnętrznych systemów organizacji, która czuwa nad rejestracją domen i głównymi serwerami DNS.

Zdj. Charles Mok via Flickr (CC BY-NC-SA 2.0)

Zdj. Charles Mok via Flickr (CC BY-NC-SA 2.0)

Kto stoi po drugiej stronie maila

Spear phishing, który nie raz już gościł na naszych łamach, to technika polegająca na wysyłaniu do pracowników danej organizacji fałszywych, ale idealnie skrojonych pod ofiarę e-maili. Ich celem jest nakłonienie danej osoby do podjęcia konkretnej akcji (udzielenia informacji atakującemu, zmiany konfiguracji danego systemu w celu ułatwienia ataku bądź odwiedzenia strony internetowej, która infekuje komputer ofiary złośliwym oprogramowaniem, tzw. drive-by download).

W przypadku ICANN atakujący przejęli dostępy do kilku pracowniczych skrzynek poprzez rozesłanie wiadomości z domeny przypominającej oficjalną. ICANN nie precyzuje dokładnie jak wyglądała fałszywa wiadomość, ale można domniemywać, że skoro jej celem było wydobycie danych dostępowych, to zapewne odsyłała na fałszywą stronę logowania lub nakłaniała do wypełnienia rzekomo oficjalnego kwestionariusza.

Dwa systemy zdobyte

Atakującym udało się dostać do 4 systemów. Pierwszy, mniej ważny, to system ICANN GAC Wiki, gdzie przejrzeli tylko dostępne publicznie informacje (chociaż znajdowały się w nim także niepubliczne dane). O wiele bardziej niepokojące było uzyskanie danych administracyjnych do czds.icann.org; systemu “scentralizowanych plików stref”, dzięki któremu atakujący mogli wejść w posiadanie głównych plików stref oraz danych osobowych użytkowników systemów, takich jak:

  • imiona i nazwiska
  • adresy pocztowe
  • adresy mail
  • nazwy użytkowników
  • numery telefonów
  • hasła w formie hashy (wszystkie zostały właśnie zdezaktywowane)

Dodatkowo atakujący przejęli dane kont dostępowych do bloga ICANN-u oraz WHOIS.ICANN.ORG, ale nie zauważono aby w tych systemach wykonane zostały jakiekolwiek złośliwe czynności.

ICANN: Mogło być gorzej

Jak donosi strona ICANN, włamanie mogło okazać się nawet gorsze w skutkach gdyby nie przedsięwzięte w tym roku działania na rzecz wzmocnienia systemu bezpieczeństwa (jednak, jak widać, nie uwzględniające kompleksowego szkolenia pracowników przed atakami socjotechnicznymi). Po włamaniu władze organizacji dodatkowo wzmocniły bezpieczeństwo, aby zapobiec ponownemu wejściu włamywaczy do systemu oraz celem dalszego oszacowania strat.

Na chwilę obecną nie jest znana tożsamość atakujących, jak również cel, dla którego postanowili włamać się do systemów ICANN. Być może pozyskane dane osób odpowiadających za utrzymanie stref dla danych domen posłużą im do dalszych ataków na konkretne cele?

Przeczytaj także:



9 komentarzy

Dodaj komentarz
  1. Jak zawsze najsłabsze ogniwo to człowiek :) i to ciężko będzie zmienić…

  2. To proszę podać mi system który nigdy nie był narażony na zły kod .

    Czy to Open Source czy komercyjny.

    Człowiek wymyślił i człowiek może to zniszczyć

    • Open Source to prawie to samo co ruch Free Software ale jest w założeniu nastawiony na komercje. Miałeś pewnie na myśli Open Source i oprogramowanie zamknięte ;)

  3. … oj będzie ciężko, dopóki mamy znajomych, dzieci, a ci znajomi też mają dzieci i innych znajomych. Będzie ciężko. Ale ponieważ płaci za to podatnik, to nie musimy tego zmieniać, jakoś będziemy dźwigać ten krzyż :)

  4. spear-phishing – klucz do każdej organizacji. Wydaje się, że jedyną barierą jest tu czas – kiedy cel “łyknie” naszą “paczkę”.Targetem są tutaj duże organizacje, a w tej lidze jeśli chodzi o budżet/potencjalne straty “gra jest warta świeczki” i na atakowanie można poświęcić dużo środków i czasu.

  5. Już dawno firmy powinny być podzielone na strefy, bo przecież komputer sekretarki czy księgowej nie musi mieć dostępu do newralgicznych danych, które nie są niezbędne dla wspomnianej sekretarki, kadrowej czy księgowej. No i szkolenia security muszą objąć wszystkich pracowników, choć do tego daleko. Prędzej mniej ważni pracownicy dostaną terminale, zamiast w pełni funkcjonalnych komputerów, bo z nich nie będzie dostępu do reszty sieci firmy.

    • Rozwiązanie ideowo dobre, implementowalne niestety tylko ideowo.. Każdy zapewne ma w umowie o pracę zapisane, że ma wykonywać inne polecenia kierownika, więc na chwilę obecną zawsze wygląda to tak, że dostępy są nadawane na zapas, bo kiedyś być może potrzeba zajdzie zastępstwa etc..

    • Spotkali się panowie teoretycy :) Można spytać z jakiego uniwerku? Ale co ja to chciałem…. a tak już wiem:

      – uprawnienia nie nadaje się komputerom tylko użytkownikom
      – uprawnień nie nadaje się “na zapas”, po prostu im dłużej ktoś pracuje tym więcej ich z biegiem czasu kumuluje
      – szkolenie kadrowych i sekretarek z security to chyba jakiś oksymoron :) Trzeba im wbić do głowy tylko kilka podstawowych zasad i uczulić na ataki socjotechniczne, a resztę zostawić systemom wykrywającym nieprawidłowości/wirusy etc
      – pomijając specjalne przypadki, szeregowi pracownicy dostaną terminale gdy będą im wystarczały do pracy i całkowity koszt inwestycji będzie sensowny z biznesowego punktu widzenia, a nie dlatego że tak jest “bezpieczniej” (cokolwiek miałoby to znaczyć)
      – celem numerem 1 każdej organizacji jest to by kluczowe procesy biznesowe przebiegały sprawnie i bez zakłóceń. Wprowadzanie zakłóceń w tej materii jest niebezpieczne dla zakłócającego, choćby i działał w dobrej wierze :) To uwaga w kwestii ostudzenia co niektórych zapędów racjonalizatorskich :)

  6. Przejeli WHOIS – no to juz mamy pierwszy efekt. Dzis dostalem 3 maile z adresu notices@domainnotices5500.com. Podszywali sie pod mojego zarzadzajacego moimi domenami i chcieli bym im zaplacil za odnowienie domeny (podawali ze wygasa 31.12, choc w rzeczywistosci wygasa ponad miesiac pozniej. To jest ich szablon (zastapilem moje dane placeholderami):

    Attention: Important Notice , DOMAIN SERVICE NOTICE
    Domain Name: MOJA_DOMENA.COM

    Complete and return by fax to:
    1-716-650-4815

    ATT: MOJE IMIE I NAZWISKO
    ADMINISTRATIVE CONTACT
    MOJE IMIE I NAZWISKO
    MOJ_EMAIL@O2.PL
    MOJ_ADRES
    POLAND
    http://WWW.MOJA_DOMENA.COM
    Please ensure that your contact information is correct or make the
    necessary changes above

    Requested Reply
    DECEMBER 30,2014

    PART I: REVIEW SOLICITATION

    Attn: MOJE IMIE I NAZWISKO
    As a courtesy to domain name holders, we are sending you this notification
    for your business Domain name search engine registration. This letter is to
    inform you that it’s time to send in your registration and save.

    Failure to complete your Domain name search engine registration by the
    expiration date may result in cancellation of this offer making it
    difficult for your customers to locate you on the web.

    Privatization allows the consumer a choice when registering. Search engine
    subscription includes domain name search engine submission. You are under
    no obligation to pay the amounts stated below unless you accept this offer.
    Do not discard, this notice is not an invoice it is a courtesy reminder to
    register your domain name search engine listing so your customers can
    locate you on the web.

    This Notice for: http://WWW.MOJA_DOMENA.COM will expire on DECEMBER 30,2014 Act
    today!

    Select Term:

    [ ] 1 year 12/30/2014 – 12/30/2015 $75.00
    [ ] 2 year 12/30/2014 – 12/30/2016 $119.00
    [ ] 5 year 12/30/2014 – 12/30/2019 $199.05
    [ ] 10 year -Most Recommended- 12/30/2014 – 12/30/2024 $295.00
    [ ] Lifetime (NEW!) Limited time offer – Best value! Lifetime $499.00

    Today’s Date: _____________________ Signature: _____________________

    Payment by Credit Card
    Select the term above, then return by fax: 1-716-650-4815

    MOJA_DOMENA.COM

    ——————————————————————————————-

    By accepting this offer, you agree not to hold DS liable for any part. Note
    that THIS IS NOT A BILL. This is a solicitation. You are under no
    obligation to pay the amounts stated unless you accept this offer. The
    information in this letter contains confidential and/or legally privileged
    information from the notification processing department of the DS 3501 Jack
    Northrop Ave. Suite #F9238 Hawthorne, CA 90250 USA, This information is
    intended only for the use of the individual(s) named above. There is no
    pre-existing relationship between DS and the domain mentioned above. This
    notice is not in any part associated with a continuation of services for
    domain registration. Search engine submission is an optional service that
    you can use as a part of your website optimization and alone may not
    increase the traffic to your site. If you do not wish to receive further
    updates from DS reply with Remove to unsubscribe. If you are not the
    intended recipient, you are hereby notified that disclosure, copying,
    distribution or the taking of any action in reliance on the contents for
    this letter is strictly prohibited.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: