هکرهای ایرانی، متهم به هایجک DNS بین المللی

کمپانی امنیتی FirmEye هفته گذشته در گزارشی مدعی شد که یک کمپین بسیار پیچیده بین المللی عموما متشکل از گروه های هکری ایرانی در تغییر مسیر ترافیک اینترنت به سمت سرورهای هدف خود دست داشته و به این ترتیب اعتبارنامه های آنان را برای حملات بعدی ذخیره کرده است. از جمله کمپانی هایی که در اثر این حمله بسیار پیشرفته و پیچیده مورد آسیب قرار گرفته اند می توان به شرکت های مخابراتی، ارائه دهندگان سرویس های اینترنتی، ارائه دهندگان زیرساخت های اینترنتی و برخی سازمان های دولتی در حوزه خاورمیانه، آفریقای شمالی، اروپا و آمریکای شمالی اشاره کرد.

تحلیلگران FireEye اعتقاد دارند یک گروه هکری از ایران پشت پرده این حملات قرار دارند اما نمی توانند شواهد قابل ارائه ای برای آن معرفی کنند. به گفته این موسسه حمله انجام شده از نظر مالی دارای منافع خاصی نیست اما می تواند مورد استفاده دولت ها قرار گیرد. در گزارشی که جمعه گذشته توسط FireEye در تحلیل این رویداد منتشر شده آمده است که این حملات از ژانویه 2017 تا کنون به صورت پیوسته اتفاق افتاده اند و سطح تاثیرگذاری آنها "بسیار عظیم" برآورد شده است. ظاهرا از چند تکنیک مختلف شامل تغییر DNS های ثبت شده برای سرور صندوق الکترونیکی قربانیان برای هدایت آنها به سرورهای انتخابی و تغییر در DNS قانونی شرکت ها از طریق حساب کاربری TLD برای انجام این حمله استفاده شده است. بر اساس برآوردهای FireEye، اجرای این تکنیک در حملات سایبری بسیار دشوار و پیچیده است و تقریبا نمی توان دفاعی در برابر آنها انجام داد زیرا حمله کنندگان در بسیاری از موارد از شبکه های داخلی شرکت ها استفاده نمی کنند و در نتیجه حساسیت ابزارهای امنیتی را نیز برنمی انگیزند. در همین راستا موثرترین راه برای جلوگیری از درگیر شدن با چنین حملاتی استفاده از سیستم اعتبارسنجی دو مرحله ای برای حساب های مدیریتی TLD و DNS عنوان شده است.