„გამოიყენეთ DNSSEC-ი (როგორც ხელმოწერის, ისე ვალიდაციის ზონებში); გამოიყენეთ სანდო DNS სერვერები; გამოიყენეთ ორმაგი ავტორიზაცია (როგორც მომხმარებლების, ისე ქვეკონტრაქტორებისთვის); გამოიყენეთ ძლიერი პაროლები“, ეს ის რეკომენდაციებია, რასაც საქართველოს იუსტიციის სამინისტროს სსიპ „მონაცემთა გაცვლის სააგენტოს“ სამთავრობო კომპიუტერულ ინციდენტებზე სწრაფი დახმარების ჯგუფი CERT.GOV.GE ახალი ჰაკერული საფრთხის გამო, ინტერნეტ მომხმარებლებს აძლევს.
როგორც გავრცელებულ ინფორმაციაშია ნათქვამი, სერიოზული და ფართომასშტაბიანი თავდასხმების შესახებ, აშშ-ის მთავრობამ და უსაფრთხოების წამყვანმა კომპანიებმა ცოტა ხნის წინ გააფრთხილეს.
გავრცელებული ინფორმაციით, თავდასხმების უკან ირანელი ჰაკერები დგანან, რომლებსაც ბრალი ედებათ სხვადასხვა სამთავრობო ორგანიზაციისა და კერძო კომპანიის კუთვნილი ელფოსტის პაროლებისა და სხვა მგრძნობიარე მონაცემების მითვისებაში.
როგორც Cisco Talos-ის (The Talos Security Intelligence and Research Group ) წარმომადგენელმა განაცხადა, DNSpionage კამპანიის ფარგლებში ჰაკერებმა შეძლეს ლიბანსა და არაბეთის გაერთიანებულ საამიროებში სხვადასხვა სახელმწიფო და კერძო სექტორის წარმომადგენლებისგან ელფოსტისა და სხვა საიდუმლო ინფორმაციის მოპარვა. ამ მიზნით მათ DNS სერვერების გადამისამართება გამოიყენეს, რითაც პირადი ქსელებისა და ვებგვერდების მისამართები ჰაკერების მიერ კონტროლირებად მისამართებზე გადაიტანეს.
Cisco Talos-ი იტყობინება, რომ ამ ოპერაციით ჰაკერებმა ხელში ჩაიგდეს SSL დაშიფვრის სერტიფიკატები, რომელთა დახმარებითაც გაშიფრეს დაშიფრული ინფორმაცია და მიითვისეს დიდი რაოდენობის მგრძნობიარე (მათ შორის პირადი) მონაცემი.
2019 წლის 9 იანვარს უსაფრთხოების სერვისების მომწოდებელმა კომპანია FireEye-იმ გამოაქვეყნა ანგარიში (Global DNS Hijacking Campaign: DNS Record Manipulation at Scale), რომელიც აღნიშნული ე.წ. ჰაკერული კამპანიის შესახებ კიდევ უფრო მეტ ტექნიკურ დეტალს გვიზიარებს და კამპანიით დაზარალებულთა შესხებაც გვაწვდის ინფორმაციას.
აშშ-ის უსაფრთხოების სამსახურებმა საგანგებო მოთხოვნით მიმართეს ყველა ფედერალურ სამოქალაქო სააგენტოს, რათა გადაამოწმონ მათ ხელთ არსებული ე.წ. DNS კონტროლ-დაფის ავტორიზაციის მონაცემები. ამ მანდატის ფარგლებში, აშშ-ის შიდა უსაფრთხოების დეპარტამენტმა (DHS) DNSpionage-ის კამპანიაში გამოყენებული დომენური სახელებისა და ინტერნეტმისამართების მოკლე ჩამონათვალი გამოაქვეყნა. ამასთან, უსაფრთხოების კომპანია „CrowdStrike“-მაც გამოაქვეყნა პოსტი, რომელშიც კამპანიის ფარგლებში გამოყენებული პრაქტიკულად ყველა ინტერნეტმისამართია დასახელებული.
DNS მონაცემები გვიჩვენებს, რომ თავდამსხმელებმა mail.gov.ae-ის (არაბეთის გაერთიანებული საამიროების სამთავრობო ოფისების ელფოსტების მთავარი პორტალია) DNS-ის ჩანაწერები შეცვალეს. საინტერესოა, რომ კამპანიის ფარგლებში გადამისამართებული DNS სერვერების მფლობელი ორგანიზაციების ჩამონათვალი მხოლოდ არაბეთის გაერთიანებული საამიროებით არ შემოიფარგლება. სიაში ასევე მოხვდნენ: nsa.gov.iq: ერაყის ეროვნული უსაფრთხოების მრჩეველი; shish.gov.al: ალბანეთის სახელმწიფო დაზვერვის სამსახური; mailmail.mfa.gov.eg: ეგვიპტის საგარეო საქმეთა სამინისტრო; mod.gov.eg: ეგვიპტის თავდაცვის სამინისტრო; owa.e-albania.al: ალბანეთის ელექტრონული მთავრობის პორტალი; mail.dgca.gov.kw: ქუვეითის სამოქალაქო ავიაციის ბიურო; gid.gov.jo: იორდანიის გენერალური დაზვერვის დირექტორატი; adpvpn.adpolice.gov.ae: VPN მომსახურება აბუ-დაბის პოლიციისთვის; mail.asp.gov.al: ალბანეთის სახელმწიფო პოლიცია; was.gov.cy: კვიპროსის მთავრობის ელფოსტა; webmail.finance.gov.lb: ლიბანის ფინანსთა სამინისტრო; p.pel.eg.eg: ეგვიპტის ნავთობპროდუქტების სამინისტრო; mail.cyta.com.cy: სატელეკომუნიკაციო და ინტერნეტ პროვაიდერი, კვიპროსი; mail.mea.com.lb: შუა აღმოსავლეთის ავიახაზები.
როგორც ცნობილია, თავდამსხმელებმა SSL სერტიფიკატების მიღება SSL პროვაიდერების (Comodo და/ან Let Encrypt) მეშვეობით შეძლეს. განხორციელებული რამდენიმე თავდასხმის დეტალები ხელმისაწვდომია cert.sh-ზე, რომელიც საშუალებას იძლევა ვნახოთ ყველა ახლად შექმნილი სერთიფიკატი.
ცნობილია, რომ ჰაკერებმა ე.წ. ფიშინგ შეტევით მოიპოვეს ავტორიზაციის ინფორმაციები, შეაღწიეს PCH-ის რეგისტრატორში და EPP პროტოკოლით შეტყობინებების გაგზავნა შეძლეს. EPP ნაკლებად ცნობილი ინტერფეისია, რომელიც ემსახურება როგორც გლობალურ, ისე ლოკალურ DNS სისტემას. ეს პროტოკოლი ჰაკერებს საშუალებას აძლევს შეცვალონ ჩანაწერები რეგიონული რეესტრების DNS სისტემებში.
იანვრის დასაწყისში კომპანია Key Systems-ის წარმომადგენელმა განაცხადა, რომ მათი EPP ინტერფეისიც ბოროტი მიზნებისთვის გამოიყენეს სწორედ მათ, ვინც შეძლეს და მოიპოვეს ავტორიზაციის ინფორმაცია ფიშინგის მეშვეობით.
Key Systems-ის წარმომადგენელი აქვე დასძენს, რომ ეს თავდასხმა, მისი გადმოსახედიდან, EPP თავდასხმის ადრეულ ვერსიას წარმოადგენდა.
„ამ შეტევის მიზანი იყო ე.წ. რეპრეზენტატებისთვის გაგზავნილი EPP ბრძანებების მეშვეობით DNS სერვერების შეცდომაში შეყვანა. აქედან გამომდინარე, დგება საორჭოფო საკითხი – ახლო მომავალში უნდა დარეგისტრირდეს თუ არა ნებისმიერი EPP ბრძანება“, _აღნიშნავს Key Systems-ის წარმომადგენელი.
ამ თავდასხმების ერთ-ერთი საინტერესო ასპექტი ისაა, რომ Netnod-ი და PCH-ი DNSSEC-ის (DNS Security Extensions) მმართველ კომპანიებს წარმოადგენენ. DNSSEC-ი ტექნოლოგიაა, რომელიც მიზნად ისახავს ისეთი ტიპის თავდასხმის აღკვეთას, როგორიცაა DNSpionage-ი.
DNSSEC-ი ყალბი ან მანიპულირებადი DNS მონაცემების გამოყენების შესაზღუდად მოცემული დომენისთვის ყველა DNS მოთხოვნის ციფრული ხელმოწერით დადასტურებას ითხოვს. DNSSEC-ი, თუ DNS სერვერი განსაზღვრავს, რომ მოცემულ დომენზე მისამართების ჩანაწერი არ შეცვლილა ე.წ. სატრანზიტოში, ადასტურებს დომენს და საშუალებას აძლევს მომხმარებელს გახსნას კონკრეტული ვებგვერდი. თუმცა, თუ ჩანაწერი შეცვლილია ან არ შეესაბამება მოთხოვნილ დომენს, DNS სერვერი არ აძლევს მომხმარებელს კონკრეტულ ვებგვერდზე შესვლის საშუალებას. იმის მიუხედავად, რომ DNSSEC-ი DNSpionage-ის წინააღმდეგ გამოყენებული ეფექტური ინსტრუმენტი შეიძლება იყოს, ინტერნეტის მხოლოდ 20%-ი იყენებს მას.
დარგის სპეციალისტები ამბობენ, რომ PCH-ის ყველა ინფრასტრუქტურა DNSSEC-ს იყენებს, თუმცა PCH-ის კლიენტების 13%-ს არ ჰქონდა ეს ინსტრუმენტი სწორად დაკონფიგურირებული და შესაბამისად DNSpionage-ის წინააღმდეგაც ვერაფერს გახდნენ. მათი განცხადებით, PCH-ის ინფრასტრუქტურა DNSpionage-ის თავდასხმის მსხვერპლი 2018 წლის დეკემებრსა და 2019 წლის 2 იანვარს შორის პერიოდში გახდა. თითოეული შეტევის დროს ჰაკერები თავიანთ ფიშინგ შეტევის მექანიზმებს დაახლოებით ერთი საათის განმავლობაში რთავდნენ, ხოლო შემდეგ ქსელს თავდაპირველ სახეს უბრუნებდნენ.
თავდამსხმელები მეთვალყურეობის ქსელს საათში ერთხელ რთავდნენ. იმის გათვალისწინებით, რომ ყველაზე თანამედროვე სმარტფონები მოსულ ელექტრონულ წერილებს ავტომატურად იწერენ, ჰაკერებმა ელფოსტის ბევრი მომხმარებლის სახელისა და პაროლის მოკლე პერიოდში მოპოვება შეძლეს.
„ირანელები ინტერნეტზე მომენტალური ეფექტის მოსახდენად არ იბრძვიან. ისინი ცდილობენ ინტერნეტის ინფრასტრუქტურაში შეღწევას, რათა დაუშვებელი ქმედებები განახორციელონ და სასჯელსაც თავი აარიდონ“,_ ამბობს დარგის ექსპერტი.
ICANN (The Internet Corporation for Assigned Names and Numbers) არაკომერციული ორგანიზაციაა, რომელიც გლობალური დომენის ინდუსტრიას აკონტროლებს. ამ ორგანიზაციის უსაფრთხოებისა და სტაბილურობის ერთ-ერთი წამყვანი ოფიცერი ამბობს, რომ ყველაფერი მონაცემთა ჰიგიენის ხარისხზეა დამოკიდებული.
„დიდი ორგანიზაციები ყურადღებას არ აქცევენ დომენ სერვერებს, ორმაგ ავტორიზაციასა და DNS სერვერების ინფორმაციის უსაფრთხოებას. დღეს კომპანიას თუნდაც ერთი სუსტი წერტილი რომ ჰქონდეს, იგი მაინც გატყდება და ბოროტი მიზნებისთვის იქნება გამოყენებული“, _დასძენს ICANN-ის წარმომადგენელი.
