Af Eskil Sørensen, 05/08/20
ZDNet skriver i en nyhedsartikel tirsdag den 4. august, at den iranske hackergruppe Oilrig har taget et nyt våben i brug. Kilden til historien er en malwareanalytiker fra sikkerhedsvirksomheden Kaspersky, der siger, at værktøjet første gang blev brugt i maj i år.
Ifølge analytikeren Vincente Diaz er der tale om et værktøj, DNSExfiltrator, der skaber skjulte kommunikationskanaler i hackede netværk ved at kanalisere data over i ikke-standardprotokoller.
Værktøjet kan dels overføre data mellem to punkter ved hjælp af DNS-anmodninger. Dels bruge den nyere DoH-protokol. Teorien er, at data flyttes internt inden for et netværk ved hjælp af DNS-anmodning, mens DoH-protokollen bruges til at filtrere data ud til et eksternt netværk. Herved undgås det tilsyneladende, at aktiviteterne med at flytte stjålne data blive opdaget, mens det sker.
At det kan lade sig gøre skyldes dels, at DoH-protokollen er så ny, at ikke alle sikkerhedsprodukter kan overvåge aktiviteterne inden for protokollen, dels at protokollen er krypteret som standard, mens DNS er i klartekst.
Mistanken har rettet sig mod Oilrig, eftersom gruppen er kendt bruger af de såkaldte DNS-udfiltreringskanaler, ligesom gruppen selv har udviklet og anvendt et værktøj med samme funktionalitet, DNSpionage, siden 2018.