El gobierno de EE. UU. Y varias compañías líderes en seguridad de la información advirtieron recientemente sobre una serie de ataques de secuestro de DNS muy complejos y generalizados que permitieron a los piratas informáticos supuestamente de Irán obtener una gran cantidad de contraseñas de correo electrónico y otros datos confidenciales de varios gobiernos y empresas privadas. Pero hasta ahora, los detalles de lo sucedido y la lista de víctimas se han mantenido en secreto.
En este artículo, intentaremos evaluar la escala de los ataques y rastrear esta campaña de ciberespionaje extremadamente exitosa desde el principio hasta una serie de fallas en cascada en los proveedores clave de infraestructura de Internet.
Antes de profundizar en el estudio, es útil revisar los hechos divulgados públicamente. El 27 de noviembre de 2018, la unidad de investigación Talos de Cisco
publicó un informe que describe una campaña avanzada de ciberespionaje llamada
DNSpionage .
DNS significa
Sistema de nombres de dominio : un sistema de nombres de dominio que sirve como una especie de guía telefónica de Internet, que traduce nombres de sitios web convenientes (example.com) en una dirección IP numérica de computadora.
Los expertos de Talos escribieron que gracias al ataque DNSpionage, los ciberdelincuentes pudieron obtener credenciales de correo electrónico de otras organizaciones gubernamentales y empresas privadas en el Líbano y los Emiratos Árabes Unidos al cambiar los registros DNS, de modo que todo el tráfico de correo electrónico y redes privadas virtuales (VPN) redirigido a una dirección IP controlada por ciberdelincuentes.
Talos dijo que gracias al secuestro de DNS, los piratas informáticos pudieron obtener certificados de encriptación SSL para dominios de destino (incluido webmail.finance.gov.lb), lo que les permitió descifrar el tráfico de cuentas de correo electrónico y VPN.
El 9 de enero de 2019, el proveedor de servicios de seguridad FireEye
publicó su informe, "La campaña global de captura de DNS: manipulación masiva de registros DNS", que tiene muchos más detalles técnicos sobre cómo se realizó la operación, pero pocos detalles sobre las víctimas.
Casi al mismo tiempo, el Departamento de Seguridad Nacional de los EE. UU. Emitió una rara directiva de emergencia que
exige que todas las agencias civiles federales de EE. UU. Protejan sus credenciales en Internet. Como parte de este mandato, el DHS publicó una breve lista de nombres de dominio y direcciones de Internet utilizados en la campaña DNSpionage, aunque la lista no fue más allá de lo que Cisco Talos y FireEye informaron anteriormente.
La situación cambió el 25 de enero de 2019, cuando los especialistas en seguridad de la información de CrowdStrike
publicaron una lista de casi todas las direcciones IP que se utilizaron en la operación de piratas informáticos hoy. El resto de esta historia se basa en datos abiertos y entrevistas que realizamos en un intento de arrojar más luz sobre la verdadera escala de este ataque extraordinario, que continúa hasta nuestros días.
DNS pasivo
Para comenzar, tomé todas las direcciones IP mencionadas en el informe CrowdStrike y las verifiqué en los servicios
Farsight Security y
SecurityTrails , que recopilan pasivamente datos sobre cambios de registros DNS asociados con decenas de millones de dominios en todo el mundo.
Revisando estas direcciones IP se aseguró de que en los últimos meses de 2018, los piratas informáticos de DNSpionage lograron comprometer los componentes clave de la infraestructura de DNS para más de 50 empresas y agencias gubernamentales del Medio Oriente, incluidos objetivos en Albania, Chipre, Egipto, Irak, Jordania, Kuwait, Líbano, Libia, Arabia Saudita y los EAU.
Por ejemplo, estos "datos pasivos" indican que los atacantes pudieron interceptar los registros DNS del dominio
mail.gov.ae , que sirve el correo electrónico de las agencias gubernamentales en los EAU. Aquí hay algunos otros dominios interesantes que se vieron comprometidos con éxito durante la operación:
-nsa.gov.iq: Consejo de Seguridad Nacional iraquí
-webmail.mofa.gov.ae: correo electrónico del Ministerio de Asuntos Exteriores de los EAU
-shish.gov.al: servicio de inteligencia estatal de Albania
-mail.mfa.gov.eg: servidor de correo del Ministerio de Asuntos Exteriores de Egipto
-mod.gov.eg: Ministerio de Defensa egipcio
-embassy.ly: embajada de Libia
-owa.e-albania.al: portal de Outlook Web Access para gobierno electrónico en Albania
-mail.dgca.gov.kw: servidor de correo de la Oficina de Aviación Civil de Kuwait
-gid.gov.jo: Agencia de Inteligencia General de
Jordania-adpvpn.adpolice.gov.ae: Servicio VPN de la Policía de Abu Dhabi
-mail.asp.gov.al: correo electrónico de la policía estatal albanesa
-owa.gov.cy: Portal de acceso web de Microsoft Outlook para el gobierno de Chipre
-webmail.finance.gov.lb: correo del Ministerio de Finanzas libanés
-mail.petroleum.gov.eg: Ministerio de Petróleo de Egipto
-mail.cyta.com.cy: proveedor de telecomunicaciones e Internet de Chipre, Cyta
-mail.mea.com.lb: servidor de correo de Middle East Airlines
Los datos pasivos de DNS de Farsight y SecurityTrails también dan pistas cuando cada uno de estos dominios es "capturado". En la mayoría de los casos, los atacantes aparentemente cambiaron los registros DNS de estos dominios (un poco más adelante le diremos cómo se hace) para que señalen a los servidores bajo su control en Europa.
Poco después del inicio del ataque, a veces después de semanas, a veces días u horas, los atacantes pudieron obtener certificados SSL para estos dominios de las autoridades de certificación
Comodo y / o
Let's Encrypt . La preparación de varios ataques se puede rastrear hasta
crt.sh : la base de todos los nuevos certificados SSL con una función de búsqueda.
Consideremos un ejemplo con más detalle. El informe CrowdStrike menciona la dirección IP
139.59.134 [.] 216 (ver arriba), que, según Farsight, ha alojado siete dominios diferentes a lo largo de los años. Pero en diciembre de 2018, aparecieron dos nuevos en esta dirección, incluidos los dominios en el Líbano y, curiosamente, en Suecia.
El primero de ellos es
ns0.idm.net.lb , el servidor del proveedor de Internet libanés
IDM . Desde principios de 2014 hasta diciembre de 2018, la entrada ns0.idm.net.lb apuntó a la dirección IP libanesa
194.126.10 [.] 18 . Pero la captura de pantalla de Farsight a continuación muestra que el 18 de diciembre de 2018, los registros DNS de este proveedor de Internet cambiaron al redirigir el tráfico destinado a IDM a un proveedor de alojamiento en Alemania (dirección 139.59.134 [.] 216).
Observe qué otros dominios se encuentran en esta dirección IP 139.59.134 [.] 216 junto con el dominio IDM, según Farsight:
Los registros DNS de los dominios
sa1.dnsnode.net y
fork.sth.dnsnode.net en diciembre también cambiaron de sus direcciones suecas legítimas a la IP de un proveedor de alojamiento alemán. Estos dominios son propiedad de
Netnod Internet Exchange , el mayor proveedor global de DNS de Suecia. Netnod también administra uno de los
13 servidores DNS raíz : un recurso crítico que subyace en el sistema DNS global.
Volvamos a Netnod un poco más tarde. Pero primero, veamos otra dirección IP proporcionada en el informe CrowdStrike como parte de la infraestructura afectada por el ataque
DNSpionage :
82.196.11 [.] 127 . Esta dirección holandesa también aloja el dominio
mmfasi [.] Com . Según CrowdStrike, este es uno de los dominios atacantes que se utilizó como servidor DNS para algunos de los dominios secuestrados.
Como puede ver, 82.196.11 [.] 127 alojó temporalmente otro par de servidores DNS de Netnod, así como el servidor
ns.anycast.woodynet.net . Es apodado
Bill Woodcock , Director Ejecutivo de
Packet Clearing House (PCH) .
PCH es una organización sin fines de lucro del norte de California que también administra una parte significativa de la infraestructura global de DNS, incluido el servicio a más de 500 dominios de nivel superior y una serie de dominios de nivel superior de Medio Oriente afectados por la operación DNSpionage.
Ataque a registradores
El 14 de febrero, contactamos al CEO de Netnod, Lars Michael Yogback. Confirmó que parte de la infraestructura de DNS de Netnod fue secuestrada a fines de diciembre de 2018 y principios de enero de 2019 después de que los atacantes obtuvieron acceso a las cuentas de registrador.
Yogbek se refirió a
una declaración de la compañía emitida el 5 de febrero. Dice que Netnod se enteró de su participación en el ataque el 2 de enero, después de lo cual, durante todo el tiempo, actuó en contacto con todas las partes interesadas y clientes.
"Como participante en la cooperación de seguridad internacional, el 2 de enero de 2019, Netnod se dio cuenta de que estábamos involucrados en esta serie de ataques y fuimos atacados con un tipo de MiTM (hombre en el medio)", dijo el comunicado. - Netnod no es el objetivo final de los hackers. Según la información disponible, su objetivo es recopilar credenciales para servicios de Internet en países fuera de Suecia ".
El 15 de febrero, PCH Bill Woodcock me admitió en una entrevista que partes de la infraestructura de su organización también estaban en peligro.
Después de obtener acceso no autorizado, los hackers copiaron los registros de los dominios pch.net y dnsnode.net a los mismos servidores del registrador de dominios alemán Key-Systems GmbH y la compañía sueca Frobbit.se. Este último es un revendedor de Key Systems, y comparten la misma infraestructura de Internet.
Woodcock dijo que los hackers de phishing engañaron las credenciales que PCH usó para enviar mensajes de señalización conocidos como el
Protocolo de Aprovisionamiento Extensible (EPP) o el "Protocolo de Información Extensible". Esta es una interfaz poco conocida, una especie de back-end para el sistema DNS global que permite a los registradores de dominio notificar a los registros regionales (por ejemplo, Verisign) sobre cambios en los registros de dominio, incluido el registro de nuevos dominios, cambios y transferencias.
"A principios de enero, Key-Systems anunció que las personas no autorizadas que robaban credenciales usaban su interfaz EPP", dijo Woodcock.
Key-Systems se negó a comentar sobre la historia. Ella declaró que no estaba discutiendo los detalles comerciales de sus clientes revendedores.
La
declaración de ataque
oficial de Netnod aborda solicitudes adicionales al director de seguridad Patrick Veltström, quien también es copropietario de Frobbit.se.
En una correspondencia con nosotros, Veltstrom dijo que los piratas informáticos lograron enviar instrucciones EPP a varios registros en nombre de Frobbit y Key Systems.
"Desde mi punto de vista, esta es obviamente una versión temprana de un futuro gran ataque contra el PPE", escribió Feltström. - Es decir, el objetivo era enviar los comandos EPP correctos a los registros. Personalmente, tengo mucho miedo de lo que pueda suceder en el futuro. ¿Deben los registros confiar en todos los equipos de los registradores? Siempre tendremos registradores vulnerables, ¿verdad?
DNSSEC
Uno de los aspectos más interesantes de estos ataques es que Netnod y PCH son partidarios y seguidores de alto perfil de
DNSSEC , una tecnología que protege específicamente contra ataques del tipo que los hackers de DNSpionage lograron usar.
DNSSEC protege las aplicaciones de la falsificación de datos DNS al requerir una firma digital para todas las consultas DNS para un dominio o conjunto de dominios dado. Si el servidor de nombres determina que el registro de dirección de este dominio no ha cambiado durante la transferencia, se resuelve y permite al usuario visitar el sitio. Pero si el registro ha cambiado de alguna manera o no coincide con el dominio solicitado, entonces el servidor DNS bloquea el acceso.
Aunque DNSSEC puede ser una herramienta eficaz para mitigar tales ataques, solo alrededor del 20% de las principales redes y sitios en el mundo han incluido soporte para este protocolo, según un
estudio de APNIC, un registrador de Internet en la región de Asia y el Pacífico.
Yogbek dijo que la infraestructura de Netnod se vio afectada tres veces como parte de la operación DNSpionage. Los dos primeros ocurrieron en el intervalo de dos semanas entre el 14 de diciembre de 2018 y el 2 de enero de 2019 y estaban destinados a servidores que
no están protegidos por DNSSEC.
Sin embargo, un tercer ataque entre el 29 de diciembre y el 2 de enero se llevó a cabo en la infraestructura de Netnod,
protegida por DNSSEC y sirviendo su propia red interna de correo electrónico. Como los atacantes ya tenían acceso a los sistemas de registro, lograron desactivar esta protección por un corto tiempo, al menos esta vez fue suficiente para obtener los certificados SSL de
dos servidores de correo Netnod .
Cuando los atacantes recibieron los certificados, reiniciaron DNSSEC en los servidores de destino, probablemente en preparación para la segunda etapa del ataque, redirigiendo el tráfico de correo a sus servidores. Pero Yogbek dice que por alguna razón, los atacantes no volvieron a desactivar DNSSEC cuando comenzaron a redirigir el tráfico.
"Afortunadamente para nosotros, se olvidaron de apagarlo cuando comenzó el ataque MiTM", dijo. "Si estuvieran más calificados, habrían eliminado DNSSEC del dominio, lo que podrían haber hecho".
Woodcock dice que PCH verifica DNSSEC en toda la infraestructura, pero no todos los clientes de la compañía han configurado sistemas para implementar completamente la tecnología. Esto es especialmente cierto para clientes en países de Medio Oriente que son blanco del ataque DNSpionage.
Woodcock dijo que la infraestructura de PCH fue atacada por DNSpionage cuatro veces desde el 13 de diciembre de 2018 hasta el 2 de enero de 2019. Cada vez, los piratas informáticos utilizaron herramientas para interceptar el tráfico con credenciales durante aproximadamente una hora, y luego minimizaron y devolvieron la red a su estado original.
La vigilancia durante más de una hora sería redundante, porque la mayoría de los teléfonos inteligentes modernos están configurados para revisar constantemente el correo electrónico. Por lo tanto, en solo una hora, los piratas informáticos pudieron recopilar una gran cantidad de credenciales.
2 de enero de 2019, el mismo día en que tuvo lugar el ataque a los servidores de correo internos de Netnod, los piratas informáticos atacaron directamente a PCH, obteniendo certificados SSL de Comodo de
dos dominios de PCH, a través de los cuales también pasa el correo interno de la compañía.
Woodcock dijo que gracias a DNSSEC, el ataque fue neutralizado casi por completo, pero los piratas informáticos pudieron obtener las credenciales de correo electrónico de dos empleados que estaban de vacaciones en ese momento. Sus dispositivos móviles descargaron el correo a través de WiFi en el hotel, por lo tanto (de acuerdo con los términos del servicio WiFi) utilizaron los servidores DNS del hotel y no los sistemas DNNSEC habilitados para PCH.
"Ambas víctimas estaban de vacaciones con sus iPhones en ese momento, y tuvieron que pasar por portales comprometidos al recibir el correo", dijo Woodcock. “Cuando accedieron, tuvieron que desconectar nuestros servidores de nombres, y durante este tiempo sus clientes de correo buscaron nuevo correo. Aparte de esto, DNSSEC nos salvó de la captura total ".
Dado que PCH protege sus dominios con DNSSEC, el efecto práctico de piratear la infraestructura de correo fue que durante aproximadamente una hora nadie más que dos empleados remotos recibieron cartas.
"De hecho, para todos nuestros usuarios, el servidor de correo no estuvo disponible por un corto período de tiempo", dijo Woodcock. - La gente solo miraba el teléfono, no veía letras nuevas y pensaba: extraño, lo comprobaré más tarde. Y cuando lo revisaron la próxima vez, todo funcionó bien. Un grupo de nuestros empleados notó un cierre a corto plazo del servicio de correo, pero esto no se convirtió en un problema demasiado serio para iniciar una discusión o para que alguien registrara un boleto ".
Pero los hackers de DNSpionage no lo detuvieron. En un boletín para clientes, PCH dijo que la investigación realizada pirateó un sitio con una base de datos de usuarios el 24 de enero. La base de datos contiene nombres de usuario, hash de contraseña de bcrypt, correos electrónicos, direcciones y nombres de compañías.
"No vemos evidencia de que los atacantes hayan accedido a la base de datos", dijo el informe. "Por lo tanto, estamos informando esta información por transparencia y precaución, y no porque consideremos que los datos están comprometidos".
Nivel avanzado
Varios expertos que entrevistamos en relación con esta historia mencionaron los problemas crónicos de las organizaciones para proteger su tráfico de DNS. Muchos lo perciben como un hecho, no guardan registros y no supervisan los cambios en los registros de dominio.
Incluso para las compañías que están tratando de monitorear su infraestructura DNS en busca de cambios sospechosos, algunos servicios de monitoreo verifican los registros DNS de forma pasiva o solo una vez al día. Woodcock confirmó que PCH dependía de no menos de tres sistemas de monitoreo, pero ninguno advirtió sobre el robo por hora de registros DNS que afectaban a los sistemas PCH.
Woodcock dijo que desde entonces PCH ha implementado su propio sistema de monitoreo de infraestructura DNS varias veces por hora, que advierte inmediatamente de cualquier cambio.
Yogbek dijo que Netnod también ha intensificado el monitoreo y redoblado los esfuerzos para implementar todas las opciones de seguridad de infraestructura de dominio disponibles. Por ejemplo, antes de que una empresa no
bloqueara los registros de todos sus dominios. Esta protección proporciona autenticación adicional antes de realizar cambios en los registros.
"Lamentamos no haber brindado la máxima protección a nuestros clientes, pero nosotros mismos fuimos víctimas de una cadena de ataques", dijo Yogbek. - Después del robo, puedes establecer el mejor castillo y esperar que ahora sea más difícil repetir esto. Realmente puedo decir que aprendimos mucho al ser víctimas de este ataque, y ahora nos sentimos mucho más seguros que antes ”.
A Woodcock le preocupa que los responsables de implementar los nuevos protocolos y otros servicios de infraestructura no se tomen en serio la amenaza global de los ataques de DNS. Confía en que los piratas informáticos de DNSpionage descifrarán muchas más empresas y organizaciones en los próximos meses y años.
"La batalla está en este momento", dijo. "Los iraníes no están llevando a cabo estos ataques por un efecto a corto plazo". Están tratando de penetrar en la infraestructura de Internet lo suficientemente profundo como para lograr lo que quieren en cualquier momento. Quieren proveerse con tantas opciones de maniobra en el futuro ".
Recomendaciones
John Crane es Jefe de Seguridad, Estabilidad y Resiliencia en ICANN, una organización sin fines de lucro que supervisa la industria global de nombres de dominio. Él dice que muchos de los métodos de prevención y protección que pueden dificultar que los atacantes se hagan cargo de los dominios o la infraestructura DNS se conocen desde hace más de una década.
"Mucho se reduce a la higiene de datos", dijo Crane.
- Ni las grandes organizaciones ni las empresas más pequeñas prestan atención a algunos métodos de seguridad muy simples, como la autenticación multifactor. Hoy en día, si tienes una protección subóptima, serás pirateado. Esta es la realidad de hoy. Vemos oponentes mucho más sofisticados en Internet, y si no brindas protección básica, te golpearán ”.Algunas de las mejores prácticas de seguridad para las organizaciones son:- Use DNSSEC (para firmar y verificar respuestas)
- Use las funciones de registro, como el bloqueo del registro, para ayudar a proteger los registros de nombres de dominio de los cambios
- Use listas de control de acceso para aplicaciones, tráfico de Internet y monitoreo
- , ,
- , , Certificate Transparency Logs