Cybercriminelen breken in bij beheerder Griekse topleveldomein

Cybercriminelen hebben toegang weten te verkrijgen tot systemen van de beheerder van het Griekse topleveldomein. Het gaat om Institute of Computer Science of the Foundation for Research and Technology (ICS-Forth), de organisatie die de topleveldomein .gr en .el beheerd.

ICS-Forth bevestigt het security incident in een e-mail die op 19 april is verstuurd naar domeineigenaren en in handen is van ZDnet. De aanvallers zijn naar verluid dezelfde groep die in april in een Cisco Talos groep werd geïdentificeerd als 'Sea Turtle'. Deze groep richt zich niet zo zeer op het rechtstreeks aanvallen van slachtoffers, maar kiest ervoor in te breken op accounts bij domeinregistrars en managed DNS providers. 

DNS-instellingen wijzigen

Via deze accounts passen zij vervolgens de DNS-instellingen van bedrijven aan om dataverkeer van nietsvermoedende gebruikers om te leiden naar malafide servers. Gebruikers denken hierdoor bijvoorbeeld data die zij in een formulier invullen veilig naar de organisatie te versturen, terwijl deze data in werkelijkheid terechtkomt op een server van de aanvallers. Dit maakt het mogelijk man-in-the-middle aanvallen uit te voeren door dataverkeer te manipuleren of inloggegevens te onderscheppen.

Veel van dergelijke aanvallen zouden onopgemerkt blijven, aangezien bedrijven doorgaans hun DNS-instellingen niet actief monitoren. Daarnaast zijn de aanvallen kortstondig en duren doorgaans slechts enkele uren tot dagen.

Na ontdekking nog zeker vijf dagen toegang

In een rapport dat Cisco Talos heeft gepubliceerd over de aanval op ICS-Forth worden meer details over de aanval verstrekt. Het is niet duidelijk wat de aanvallers precies hebben gedaan in de periode dat zij toegang hadden tot de systemen van de domein registrar. Wel blijkt dat de aanvallers nog zeker vijf dagen toegang hadden tot de systemen nadat ICS-Forth de cyberaanval openbaar maakte. De aanval was in dit stadium dus wel ontdekt, maar niet gestopt.