حذرت الحكومة الأمريكية وعدد من شركات أمن المعلومات الرائدة مؤخرًا من سلسلة من هجمات اختطاف نظام أسماء النطاقات المعقدة والواسعة للغاية والتي سمحت للمتسللين الذين يزعم أنهم من إيران بالحصول على قدر كبير من كلمات مرور البريد الإلكتروني وغيرها من البيانات الحساسة من العديد من الحكومات والشركات الخاصة. لكن حتى الآن ، ظلت تفاصيل ما حدث وقائمة الضحايا سرية.
في هذه المقالة ، سنحاول تقييم حجم الهجمات وتتبع حملة التجسس الإلكتروني الناجحة للغاية من البداية إلى سلسلة متتالية من الإخفاقات لدى موفري البنية الأساسية للإنترنت.
قبل الخوض في الدراسة ، من المفيد مراجعة الحقائق التي تم الكشف عنها علنًا. في 27 نوفمبر 2018 ،
نشرت وحدة أبحاث Talos التابعة لشركة Cisco
تقريراً يصف حملة تجسس إلكترونية متطورة تسمى
DNSpionage .
يرمز نظام أسماء النطاقات إلى
نظام اسم المجال :
نظام اسم المجال الذي يعمل كنوع من دفتر الهاتف عبر الإنترنت ، ويقوم بترجمة أسماء مواقع الويب المناسبة (example.com) إلى عنوان IP رقمي للكمبيوتر.
كتب خبراء Talos أنه بفضل هجوم DNSpionage ، تمكن مجرمو الإنترنت من الحصول على بيانات اعتماد البريد الإلكتروني من المؤسسات الحكومية الأخرى والشركات الخاصة في لبنان والإمارات العربية المتحدة عن طريق تغيير سجلات DNS ، بحيث كانت كل حركة مرور البريد الإلكتروني والشبكة الخاصة الافتراضية (VPN) إعادة توجيه إلى عنوان IP التي تسيطر عليها مجرمي الإنترنت.
قال تالوس إنه بفضل سرقة نظام أسماء النطاقات ، تمكن المتسللون من الحصول على شهادات تشفير SSL للنطاقات المستهدفة (بما في ذلك webmail.finance.gov.lb) ، مما سمح لهم بفك تشفير حركة المرور من حسابات البريد الإلكتروني وشبكات VPN.
في 9 كانون الثاني (يناير) 2019 ،
نشر مزود خدمة الحماية من FireEye
تقريره ، "الحملة العالمية لالتقاط DNS: التلاعب الهائل بسجلات DNS" ، والذي يحتوي على مزيد من التفاصيل الفنية حول كيفية إجراء العملية ، ولكن القليل من التفاصيل حول الضحايا.
وفي الوقت نفسه تقريبًا ، أصدرت وزارة الأمن الداخلي الأمريكية توجيهات نادرة في حالات الطوارئ
تتطلب من جميع الوكالات المدنية الفيدرالية الأمريكية حماية بيانات الاعتماد على الإنترنت. كجزء من هذا التفويض ، نشرت وزارة الأمن الوطني قائمة قصيرة بأسماء النطاق وعناوين الإنترنت المستخدمة في حملة DNSpionage ، على الرغم من أن القائمة لم تتجاوز ما أبلغت عنه Cisco Talos و FireEye سابقًا.
تغير الوضع في 25 يناير 2019 ، عندما
نشر متخصصو أمن المعلومات في CrowdStrike قائمة بجميع عناوين IP تقريبًا التي تم استخدامها في عملية القراصنة اليوم. تستند بقية هذه القصة إلى بيانات ومقابلات مفتوحة أجريناها في محاولة لإلقاء مزيد من الضوء على الحجم الحقيقي لهذا الهجوم الاستثنائي ، الذي لا يزال مستمراً حتى يومنا هذا.
DNS السلبي
للبدء ، أخذت جميع عناوين IP المذكورة في تقرير CrowdStrike ودققتها في خدمات Farsight
Security and
SecurityTrails ، التي تجمع بشكل سلبي البيانات حول تغييرات سجلات DNS المرتبطة بعشرات الملايين من النطاقات في جميع أنحاء العالم.
تأكد من التحقق من عناوين IP هذه من أنه في الأشهر القليلة الماضية من عام 2018 ، تمكن قراصنة DNSpionage من اختراق مكونات البنية الأساسية لنظام أسماء النطاقات الرئيسية لأكثر من 50 شركة ووكالة حكومية في الشرق الأوسط ، بما في ذلك أهداف في ألبانيا وقبرص ومصر والعراق والأردن ، الكويت ، لبنان ، ليبيا ، المملكة العربية السعودية والإمارات العربية المتحدة.
على سبيل المثال ، تشير هذه "البيانات السلبية" إلى أن المهاجمين كانوا قادرين على اعتراض سجلات DNS الخاصة
بنطاق mail.gov.ae ، الذي يخدم البريد الإلكتروني للوكالات الحكومية في الإمارات العربية المتحدة. فيما يلي بعض المجالات الأخرى المثيرة للاهتمام التي تم اختراقها بنجاح أثناء العملية:
-nsa.gov.iq: مجلس الأمن القومي العراقي
-webmail.mofa.gov.ae: بريد إلكتروني من وزارة الخارجية الإماراتية
-shish.gov.al: جهاز مخابرات الدولة في ألبانيا
-mail.mfa.gov.eg: خادم البريد التابع لوزارة الخارجية المصرية
-mod.gov.eg: وزارة الدفاع المصرية
-embassy.ly: سفارة ليبيا
-owa.e-albania.al: مدخل Outlook Web Access للحكومة الإلكترونية في ألبانيا
-mail.dgca.gov.kw: خادم بريد مكتب الطيران المدني الكويتي
-gid.gov.jo: وكالة المخابرات العامة
الأردنية-adpvpn.adpolice.gov.ae: خدمة VPN لشرطة أبوظبي
-mail.asp.gov.al: بريد إلكتروني لشرطة الولاية الألبانية
-owa.gov.cy: بوابة Microsoft Outlook Web Access لحكومة قبرص
-webmail.finance.gov.lb: بريد وزارة المالية اللبنانية
-mail.petroleum.gov.eg: وزارة النفط المصرية
-mail.cyta.com.cy: الاتصالات السلكية واللاسلكية قبرص Cyta
-mail.mea.com.lb: خادم بريد طيران الشرق الأوسط
تعطي بيانات DNS السلبية من Farsight و SecurityTrails أيضًا أدلة عندما يتم "التقاط" كل مجال من هذه المجالات. في معظم الحالات ، يبدو أن المهاجمين غيروا سجلات نظام أسماء النطاقات لهذه المجالات (سنقوم لاحقًا بتوضيح كيفية القيام بذلك) بحيث يشيرون إلى الخوادم الخاضعة لسيطرتهم في أوروبا.
بعد وقت قصير من بدء الهجوم - وأحيانًا بعد أسابيع ، وأحيانًا أيام أو ساعات - تمكن المهاجمون من الحصول على شهادات طبقة المقابس الآمنة لهذه المجالات من
Comodo و / أو
هيا نتمكّن من شهادات الشهادة. يمكن تتبع تحضير العديد من الهجمات على
crt.sh : قاعدة جميع شهادات SSL الجديدة مع وظيفة البحث.
دعنا نفكر في مثال واحد بمزيد من التفاصيل. يذكر تقرير CrowdStrike عنوان IP
139.59.134 [.] 216 (انظر أعلاه) ، والذي ، وفقًا لـ Farsight ، استضاف سبعة مجالات مختلفة على مر السنين. لكن في ديسمبر 2018 ، ظهر اثنان جديدان في هذا العنوان ، بما في ذلك المجالات في لبنان ، والفضول ، السويد.
أولها هو
ns0.idm.net.lb - خادم
IDM IDM مزود الإنترنت. من بداية عام 2014 إلى ديسمبر 2018 ، أشار إدخال ns0.idm.net.lb إلى عنوان IP اللبناني
194.126.10 [.] 18 . لكن لقطة الشاشة من Farsight أدناه توضح أنه في 18 ديسمبر 2018 ، تغيرت سجلات DNS لمزود الإنترنت هذا عن طريق إعادة توجيه حركة المرور الموجهة لـ IDM إلى مزود استضافة في ألمانيا (العنوان 139.59.134 [.] 216).
لاحظ المجالات الأخرى الموجودة على عنوان IP هذا 139.59.134 [.] 216 جنبًا إلى جنب مع مجال IDM ، وفقًا لـ Farsight:
تم تغيير سجلات DNS الخاصة بالمجالات
sa1.dnsnode.net و
fork.sth.dnsnode.net في ديسمبر من عناوينها السويدية الشرعية إلى عنوان IP الخاص بالمضيف الألماني. هذه المجالات مملوكة لشركة
Netnod Internet Exchange ، أكبر مزود لخدمات DNS العالمية في السويد. يدير Netnod أيضًا أحد
خوادم DNS الجذرية البالغ عددها
13 : موردًا حاسمًا يقوم عليه نظام DNS العالمي.
دعنا نعود إلى نتنود لاحقًا. ولكن أولاً ، دعنا ننظر إلى عنوان IP آخر تم توفيره في تقرير CrowdStrike كجزء من البنية التحتية المتأثرة بهجوم
DNSpionage :
82.196.11 [.] 127 . يستضيف هذا العنوان الهولندي أيضًا المجال
mmfasi [.] Com . وفقًا لـ CrowdStrike ، يعد هذا أحد مجالات المهاجمين التي تم استخدامها كملقم DNS لبعض المجالات التي تم الاستيلاء عليها.
كما ترون ، استضافت 82.196.11 [.] 127 زوجًا آخر من خوادم DNS Netnod بشكل مؤقت ، بالإضافة إلى خادم
ns.anycast.woodynet.net . هو الملقب
بيل وودكوك ، المدير التنفيذي لمركز
تبادل المعلومات (PCH) .
PCH هي منظمة غير ربحية من شمال كاليفورنيا تدير أيضًا جزءًا كبيرًا من البنية التحتية DNS العالمية ، بما في ذلك تقديم أكثر من 500 نطاق من المستوى الأعلى وعدد من نطاقات المستوى الأعلى في الشرق الأوسط المتأثرة بعملية DNSpionage.
الهجوم على المسجلين
في 14 فبراير ، اتصلنا برئيس مجلس إدارة Netnod Lars Michael Yogback. وأكد أنه تم اختطاف جزء من البنية التحتية لـ Netnod DNS في أواخر ديسمبر 2018 ومطلع يناير 2019 بعد أن تمكن المهاجمون من الوصول إلى حسابات المسجل.
أشار Yogbek إلى
بيان الشركة الصادر في 5 فبراير. تقول أن Netnod علمت بتورطها في الهجوم الذي وقع في 2 يناير ، وبعد ذلك ، طوال الوقت ، تصرفت على اتصال مع جميع الأطراف المهتمة والعملاء.
وقال البيان: "كمشارك في التعاون الأمني الدولي ، في 2 يناير 2019 ، أدرك نتنود أننا تورطنا في هذه السلسلة من الهجمات وهوجمنا بنوع من MiTM (رجل في الوسط)". - Netnod ليس الهدف النهائي للمتسللين. وفقًا للمعلومات المتاحة ، فإن هدفهم هو جمع بيانات اعتماد خدمات الإنترنت في بلدان خارج السويد ".
في 15 فبراير ، اعترف لي PCH Bill Woodcock في مقابلة معه بأن أجزاء من البنية التحتية لمنظمته قد تعرضت للخطر أيضًا.
بعد الحصول على وصول غير مصرح به ، قام المتسللون بنسخ سجلات نطاقي pch.net و dnsnode.net إلى نفس الخوادم الخاصة بمسجل النطاق الألماني Key-Systems GmbH والشركة السويدية Frobbit.se. هذا الأخير هو مورد أنظمة Key ، ويتقاسم نفس البنية التحتية للإنترنت.
قال وودكوك إن قراصنة الخداع خدعوا أوراق الاعتماد التي استخدمها PCH لإرسال رسائل الإشارات المعروفة باسم
بروتوكول التزويد القابل للامتداد (EPP) أو "بروتوكول المعلومات القابلة للتوسيع". هذه واجهة غير معروفة ، وهي نوع من الواجهة الخلفية لنظام DNS العالمي الذي يسمح لمسجلي النطاق بإخطار السجلات الإقليمية (على سبيل المثال ، Verisign) بالتغييرات في سجلات المجال ، بما في ذلك تسجيل النطاقات الجديدة والتغييرات وعمليات النقل.
"في أوائل يناير ، أعلنت Key-Systems أن الأشخاص غير المصرح لهم الذين سرقوا أوراق اعتمادهم استخدموا واجهة EPP الخاصة بهم" ، قال وودكوك.
رفض Key-Systems التعليق على القصة. ذكرت أنها لم تناقش تفاصيل الأعمال الخاصة بعملائها من الموزعين.
يتوجه
بيان الهجوم
الرسمي لـ Netnod إلى طلبات أخرى إلى مدير الأمن Patrick Veltström ، وهو أيضًا شريك في Frobbit.se.
في مراسلاتنا ، قال Veltstrom أن المتسللين تمكنوا من إرسال تعليمات EPP إلى سجلات مختلفة نيابة عن Frobbit و Key Systems.
"من وجهة نظري ، من الواضح أن هذا هو نسخة مبكرة من هجوم كبير في المستقبل على EPP" ، كتب فيلتستروم. - وهذا هو ، كان الهدف هو إرسال أوامر EPP الصحيحة إلى السجلات. أنا شخصياً أخاف ما يمكن أن يحدث في المستقبل. هل يجب أن تثق السجلات في جميع الفرق من المسجلين؟ سيكون لدينا دائمًا مسجّلون ضعفاء ، أليس كذلك؟ "
DNSSEC
أحد الجوانب الأكثر إثارة للاهتمام في هذه الهجمات هو أن Netnod و PCH هما من الداعمين البارزين لـ
DNSSEC وأتباعهم ، وهي تقنية تحمي بشكل خاص من الهجمات من النوع الذي تمكن قراصنة DNSpionage من استخدامه.
يحمي DNSSEC التطبيقات من تزوير بيانات DNS عن طريق طلب توقيع رقمي لجميع استعلامات DNS لنطاق معين أو مجموعة من المجالات. إذا قرر خادم الاسم أن سجل العنوان لهذا المجال لم يتغير أثناء النقل ، فإنه يحل ويسمح للمستخدم بزيارة الموقع. ولكن إذا كان السجل قد تغير بطريقة ما أو لا يتطابق مع المجال المطلوب ، فسيحظر خادم DNS الوصول.
على الرغم من أن DNSSEC يمكن أن يكون أداة فعالة للتخفيف من مثل هذه الهجمات ، إلا أن حوالي 20٪ فقط من الشبكات والمواقع الرئيسية في العالم تضمنت دعمًا لهذا البروتوكول ، وفقًا
لدراسة أجرتها APNIC ، مسجِّلة الإنترنت في منطقة آسيا والمحيط الهادئ.
قال Yogbek إن البنية التحتية لـ Netnod قد أصيبت ثلاث مرات كجزء من عملية DNSpionage. حدث الأولان في الفاصل الزمني لمدة أسبوعين بين 14 ديسمبر 2018 و 2 يناير 2019 وكانوا موجّهين إلى خوادم
غير محمية بواسطة DNSSEC.
ومع ذلك ، تم تنفيذ هجوم ثالث بين 29 ديسمبر و 2 يناير على البنية التحتية لـ Netnod ،
محمي بواسطة DNSSEC ويخدم شبكة البريد الإلكتروني الداخلية الخاصة به. نظرًا لأن المهاجمين تمكنوا بالفعل من الوصول إلى أنظمة المسجل ، فقد تمكنوا من إيقاف تشغيل هذه الحماية لفترة قصيرة - على الأقل كانت هذه المرة كافية للحصول على شهادات SSL
لخادمي بريد Netnod .
عندما تلقى المهاجمون الشهادات ، قاموا بإعادة تشغيل DNSSEC على الخوادم المستهدفة ، على الأرجح استعدادًا للمرحلة الثانية من الهجوم - إعادة توجيه حركة مرور البريد إلى خوادمهم. لكن Yogbek يقول أنه لسبب ما ، لم يوقف المهاجمون DNSSEC مرة أخرى عندما بدأوا في إعادة توجيه حركة المرور.
"لحسن الحظ بالنسبة لنا ، لقد نسوا إيقاف تشغيله عندما بدأ هجوم MiTM ،" قال. "إذا كانوا أكثر تأهيلًا ، فكانوا قد أزالوا DNSSEC من المجال ، وهو ما كان يمكنهم القيام به."
يقول Woodcock إن PCH تقوم بفحص DNSSEC عبر البنية التحتية بأكملها ، لكن ليس كل عملاء الشركة قاموا بتكوين أنظمة لتنفيذ التكنولوجيا بالكامل. هذا صحيح بشكل خاص للعملاء في دول الشرق الأوسط الذين يستهدفهم هجوم DNSpionage.
قال وودكوك إن البنية التحتية PCH تعرضت للهجوم من قبل DNSpionage أربع مرات من 13 ديسمبر 2018 إلى 2 يناير 2019. في كل مرة ، استخدم المتسللين أدوات لاعتراض حركة المرور بأوراق اعتماد لمدة ساعة تقريبًا ، ثم قاموا بتقليل الشبكة وإعادتها إلى حالتها الأصلية.
ستكون المراقبة لمدة تزيد عن ساعة واحدة ضرورية ، لأن معظم الهواتف الذكية الحديثة يتم تهيئتها للتحقق باستمرار من البريد الإلكتروني. وهكذا ، في غضون ساعة واحدة ، تمكن المتسللين من جمع كمية كبيرة جدًا من أوراق الاعتماد.
في الثاني من كانون الثاني (يناير) 2019 - في نفس اليوم الذي وقع فيه الهجوم على خوادم البريد الداخلية في Netnod - هاجم المتسللون PCH مباشرة ، بعد حصولهم على شهادات Comodo SSL من
مجالين PCH ، حيث ينتقل البريد الداخلي للشركة أيضًا.
قال Woodcock إنه بفضل DNSSEC ، تم تحييد الهجوم تمامًا تقريبًا ، لكن المتسللين تمكنوا من الحصول على بيانات اعتماد البريد الإلكتروني لموظفين كانا في إجازة في ذلك الوقت. قامت أجهزتهم المحمولة بتنزيل البريد عبر شبكة WiFi في الفندق ، وبالتالي (وفقًا لشروط خدمة WiFi) ، استخدموا خوادم DNS الخاصة بالفندق ، وليس أنظمة DNNSEC التي تدعم PCH.
وقال وودكوك: "كان كلا الضحيتين في إجازة مع أجهزة iPhone الخاصة بهما في ذلك الوقت ، وكان عليهما المرور عبر البوابات التي تعرضت للخطر عند تلقي البريد". "عندما وصلوا ، اضطروا إلى قطع اتصال خوادم الأسماء الخاصة بنا ، وخلال هذا الوقت قام عملاء البريد الخاصة بهم بالبحث عن بريد جديد. بصرف النظر عن هذا ، أنقذنا DNSSEC من الاستيلاء التام.
نظرًا لأن PCH تحمي نطاقاتها من خلال DNSSEC ، فإن التأثير العملي لاختراق البنية التحتية للبريد كان أنه لمدة ساعة تقريبًا لم يتلق أي شخص سوى اثنين من الموظفين عن بعد رسائل.
"في الواقع ، بالنسبة لجميع مستخدمينا ، لم يكن خادم البريد متاحًا لفترة قصيرة من الوقت" ، قال وودكوك. - نظر الناس للتو إلى الهاتف ، ولم يروا رسائل جديدة وفكرًا: غريبًا ، سوف أتحقق لاحقًا. وعندما فحصوا في المرة القادمة ، كل شيء سار على ما يرام. لاحظت مجموعة من موظفينا إيقاف تشغيل خدمة البريد على المدى القصير ، لكن ذلك لم يصبح مشكلة خطيرة للغاية لبدء المناقشة أو قيام شخص ما بتسجيل تذكرة ".
لكن المتسللين DNSpionage لم توقف ذلك. في نشرة إخبارية للعملاء ، قال PCH أن التحقيق نفذ اختراق موقع مع قاعدة بيانات المستخدم في 24 يناير. تحتوي قاعدة البيانات على أسماء المستخدمين وتجزئة كلمة مرور bcrypt ورسائل البريد الإلكتروني والعناوين وأسماء الشركة.
وقال التقرير "لا نرى أدلة على وصول المهاجمين إلى قاعدة البيانات". "لذلك ، فإننا نقوم بالإبلاغ عن هذه المعلومات من أجل الشفافية والحذر ، وليس لأننا نعتبر البيانات معرضة للخطر".
المستوى المتقدم
ذكر العديد من الخبراء الذين قابلناهم فيما يتعلق بهذه القصة المشكلات المزمنة للمنظمات في حماية حركة مرور DNS الخاصة بهم. ينظر الكثيرون إلى ذلك على أنه مُعطى ، ولا تحتفظ بالسجلات ولا تراقب التغييرات في سجلات المجال.
حتى بالنسبة للشركات التي تحاول مراقبة بنية DNS الأساسية الخاصة بها بحثًا عن تغييرات مشبوهة ، تقوم بعض خدمات المراقبة بفحص سجلات DNS بشكل سلبي أو مرة واحدة فقط يوميًا. أكدت Woodcock أن PCH يعتمد على ما لا يقل عن ثلاثة أنظمة مراقبة ، ولكن لم يحذر أي منهم من السرقة كل ساعة لسجلات DNS التي تضرب أنظمة PCH.
قال Woodcock إنه منذ ذلك الحين ، نفذ PCH نظام مراقبة البنية التحتية لـ DNS الخاص به عدة مرات في الساعة ، والذي يحذر على الفور من أي تغييرات.
وقال Yogbek Netnod شددت أيضا المراقبة ومضاعفة الجهود لتنفيذ جميع خيارات أمان البنية التحتية المجال المتاحة. على سبيل المثال ، قبل أن لا تقوم الشركة
بحظر السجلات لجميع مجالاتها. توفر هذه الحماية مصادقة إضافية قبل إجراء أي تغييرات على السجلات.
وقال يوغبيك: "نحن آسفون للغاية لأننا لم نوفر أقصى حماية لعملائنا ، لكننا أنفسنا أصبحنا ضحية لسلسلة من الهجمات". - بعد السرقة ، يمكنك إنشاء أفضل قلعة ونأمل أن يصبح تكرار مثل هذا الشيء أكثر صعوبة الآن. أستطيع حقاً أن أقول إننا تعلمنا الكثير من خلال الوقوع ضحية لهذا الهجوم ، والآن نشعر بثقة أكبر من ذي قبل. "
تشعر Woodcock بالقلق من أن المسؤولين عن تنفيذ البروتوكولات الجديدة وخدمات البنية التحتية الأخرى لا يأخذون على محمل الجد التهديد العالمي لهجمات DNS. إنه واثق من أن المتسللين DNSpionage سوف كسر العديد من الشركات والمؤسسات في الأشهر والسنوات القادمة.
قال: "المعركة مستمرة الآن". "الإيرانيون لا ينفذون هذه الهجمات من أجل تأثير قصير المدى". انهم يحاولون اختراق البنية التحتية للإنترنت بعمق كاف لتحقيق ما يريدون في أي وقت. إنهم يريدون تزويد أنفسهم بالعديد من الخيارات للمناورة في المستقبل. "
توصيات
جون كرين هو رئيس الأمن والاستقرار والمرونة في ICANN ، وهي منظمة غير ربحية تشرف على صناعة أسماء النطاقات العالمية. يقول إن العديد من أساليب الوقاية والحماية التي يمكن أن تجعل من الصعب على المهاجمين السيطرة على المجالات أو البنية التحتية لنظام أسماء النطاقات معروفة منذ أكثر من عقد.
قال كرين: "الكثير يتعلق بنظافة البيانات".
- لا تهتم المؤسسات الكبيرة ، ولا أصغر الشركات ، ببعض أساليب الأمان البسيطة للغاية ، مثل المصادقة متعددة العوامل. في أيامنا هذه ، إذا كنت تتمتع بحماية مثالية ، فسوف يتم اختراقك. هذا هو واقع اليوم. نرى خصومًا أكثر تطوراً على الإنترنت ، وإذا لم توفر الحماية الأساسية ، فسيضربونك ".بعض أفضل ممارسات الأمان للمؤسسات هي:- استخدم DNSSEC (لكل من توقيع الاستجابات والتحقق منها)
- استخدم ميزات التسجيل مثل Registry Lock للمساعدة في حماية سجلات اسم المجال من التغيير
- استخدم قوائم التحكم في الوصول للتطبيقات وحركة المرور والمراقبة على الإنترنت
- , ,
- , , Certificate Transparency Logs