Hackean dominios de nivel superior .mx, .us para espiar emails y hacer ataques MITM

Expertos en seguridad de aplicaciones web afirman que un grupo de hackers patrocinados por un gobierno irrumpieron en los sistemas informáticos de ICS-Forth, la organización encargada de administrar los códigos de dominio en Grecia. ICS-Forth, que significa Instituto de Ciencias de la Computación de la Fundación para la Investigación y la Tecnología, reconoció el incidente de seguridad, notificando a los propietarios de dominios web .gr y .el vía email.

El grupo de hackers detrás de este ataque ha sido identificado como Sea Turtle; la comunidad de la ciberseguridad ha reportado en diversas ocasiones las actividades de este grupo. Este grupo ha desarrollado un enfoque de hacking más allá de lo usual pues, en lugar de seleccionar víctimas, se enfocan en atacar los registros de dominios web y proveedores de DNS, desde donde pueden realizar algunas modificaciones a las configuraciones DNS de una compañía objetivo.

Acorde a los expertos en seguridad de aplicaciones web, modificando los registros DNS para los servidores internos, los actores de amenazas redirigen el tráfico destinado a las aplicaciones legítimas de una compañía o proveedores de email para clonar servidores y realizar ataques Man-in-The-Middle (MiTM) o interceptar credenciales de inicio de sesión.

Según la investigación el ataque puede durar entre unas cuantas horas hasta un día completo, además es realmente difícil de detectar debido a que la mayoría de las compañías que prestan estos servicios no prestan atención a los cambios en la configuración DNS.

Aunque hasta el momento ninguna firma de seguridad ha decidido hacer conjeturas sobre la autoría de los ataques públicamente, fuentes cercanas a la comunidad de la ciberseguridad aseguran que el gobierno de Irán es el encargado de patrocinar a este grupo de hackers. Hasta ahora, los expertos en seguridad de aplicaciones web no cuentan con mayores detalles sobre lo que ocurrió en los sistemas de ICS-Forth después de que los hackers lograran acceder. Aunque aún no se sabe cuáles son los nombres de los dominios comprometidos, los expertos afirman que el acceso que explotaron los hackers aún estaba disponible.

Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) creen que es altamente probable que las actividades de este grupo de hacking incrementen en el corto plazo.

(Visited 158,1 times)