Atak miała przeprowadzić irańska grupa włamywaczy komputerowych znana pod nazwą Oilrig. Tak przynajmniej twierdzi jeden z informatyków pracujący w firmie Kaspersky, informując iż incydent taki miał miejsce w maju tego roku. Twierdzi on iż hakerzy wprowadzili niedawno do swojego arsenału narzędzie noszące nazwę DNSExfiltrator, które pomaga im używać tej wyrafinowanej metody włamywania się do komputerów.

DNSExfiltrator to narzędzie typu open source (czyli bazujące na otwartym kodzie) dostępne na znanej deweloperskiej witrynie GitHubie. Potrafi ono tworzyć trudne do wykrycia kanały komunikacyjne, ukrywając dane w niestandardowych protokołach, tak aby można je wtedy wyprowadzić ze zhakowanej sieci w niezauważony przez nikogo sposób.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku

Jak sama nazwa na to wskazuje, DNSExfiltrator może przesyłać dane między dwoma punktami w sieci za pomocą klasycznych żądań generowanych przez system DNS, ale potrafi również korzystać z nowszego protokołu DoH, co czyni je szczególnie groźnym.

Według informatyka hakerzy używają najpierw oprogramowanie DNSExfiltrator do przenoszenia danych w wewnętrznej sieci na jej brzeg, po to aby w następnym kroku wyprowadzić je na zewnątrz. Protokół DoH pełni wtedy rolę swego rodzaju kanału filtracyjnego, który skrzętnie skrywa poczynania hakerów, tak aby mogli bezkarnie przenosić skradzione dane z miejsca na miejsce.

Próby wykrycia takich ataków przy pomocy standardowych metod są najczęściej skazane na niepowodzenie z dwóch powodów. Po pierwsze jest to nowy protokół, którego aktywność mogą obecnie monitorować tylko niektóre programy stojące na straży bezpieczeństwa sieci. Po drugie i może najważniejsze, protokół DoH szyfruje dane domyślnie, dlatego wykorzystujące go ataki są tak trudne do wykrycia.