Les experts en sécurité de l'information ont enregistré une augmentation du nombre d'attaques de
détournement de
DNS sur des sites Web d'entreprises privées et gouvernementales. Nous vous disons qui a été blessé et comment vous protéger.
/ Flickr / F Delventhal / CC BY / Photo modifiéeQu'est-il arrivé?
L'organisation de sécurité FireEye a
publié un rapport le mois dernier faisant état d'une vague massive d'attaques contre des entreprises privées et des organisations gouvernementales. Les attaquants ont utilisé la technique d'interception DNS ou détournement de DNS. Ils ont chevauché les configurations TCP / IP sur l'ordinateur de la victime et transféré toutes les demandes vers un faux serveur DNS. Cela leur a permis de diriger le trafic des utilisateurs vers leurs propres serveurs Web et de les utiliser pour voler des données personnelles.
Selon FireEye, la croissance du nombre de ces attaques a commencé à augmenter en janvier 2017. Les pirates ciblent des domaines d'Europe, d'Amérique du Nord, du Moyen-Orient et d'Afrique du Nord. Au moins six domaines des
agences fédérales américaines et les
sites Web des gouvernements des pays du Moyen-Orient ont été touchés.
Quelles méthodes les crackers utilisent-ils?
Les experts de FireEye dans leur rapport
notent trois schémas d'usurpation DNS utilisés par les attaquants. Le premier d'entre eux a été
décrit par des employés de la division de sécurité de l'information de Cisco - Talos. Les attaquants ont piraté les systèmes des fournisseurs DNS (on ne sait pas encore avec certitude comment faire), puis ont
modifié l' enregistrement DNS A, reliant le domaine réel aux pirates IP.
En conséquence, les victimes se sont retrouvées sur un site similaire à l'original en apparence. Pour obtenir une similitude maximale, des certificats cryptographiques
Let's Encrypt ont même été créés pour un faux site. Dans le même temps, les demandes d'une fausse ressource ont été redirigées vers l'original. La fausse page a renvoyé de vraies réponses, et l'usurpation d'identité n'a pu être remarquée que par un chargement de page plus long.
Ce plan d'attaque a été utilisé pour pirater les sites du gouvernement des Émirats arabes unis, du ministère libanais des Finances et de Middle East Airlines. Les pirates ont intercepté tout le trafic et l'ont redirigé vers l'adresse IP 185.20.187.8. Selon Talos, les attaquants ont volé des mots de passe dans les boîtes aux lettres des employés des organisations et des données pour accéder aux services VPN.
Le deuxième schéma d'intrus est associé à une modification du registre d'adresses DNS de l'enregistrement de domaine NS. Elle
n'est pas
responsable d'une page d'un domaine spécifique (par exemple: mail.victim.com), mais de tous les liens du formulaire x.victim.com. Sinon, la méthode est similaire à la première: les crackers ont créé une copie du site d'origine et y ont redirigé les utilisateurs, après quoi ils ont volé des données.
La troisième méthode était souvent utilisée conjointement avec les deux premières. Les visiteurs du site Web n'ont pas été immédiatement envoyés vers une fausse page. Tout d'abord, ils sont passés à un service supplémentaire - DNS Redirector. Il a reconnu d'où l'utilisateur envoyait la requête DNS. Si le visiteur a visité la page du réseau de l'entreprise victime, il a été redirigé vers une fausse copie du site. Le redirecteur a renvoyé la véritable adresse IP aux autres utilisateurs et la personne est arrivée à la ressource d'origine.
Que pensent-ils des attaques
Les spécialistes ne
peuvent toujours
pas évaluer les dommages exacts causés par le piratage, car de nouvelles victimes de piratage sont connues même après la publication du rapport. Par conséquent, même le Département américain de la sécurité intérieure (DHS) a attiré l'attention sur le problème. Les spécialistes de l’organisation ont publié une
directive dans laquelle ils ont compilé une liste des exigences obligatoires pour les autres agences fédérales. Par exemple, DHS oblige les ministères à mettre à jour les mots de passe des comptes d'administrateur, à activer l'authentification multifacteur dans les comptes DNS et à vérifier tous les enregistrements DNS.
/ Wikimedia / ANIL KUMAR BOSE / CC BY-SAToutes les agences devraient mettre en œuvre les recommandations de la directive dans un délai de dix jours ouvrables. Selon
la publication CyberScoop, un tel terme est assez rare dans les documents du ministère. Cela indique l'état "d'urgence" de la directive.
Une série remarquable de hacks a également été appelée par des représentants de fournisseurs de serveurs DNS. Selon Kris Beevers, PDG de NS1 DNS Hosting, la conclusion la plus importante des récentes attaques est que les organisations n'utilisent pas les fonctionnalités de sécurité de base. À la base, les attaques sont assez simples et beaucoup d'entre elles auraient pu être évitées.
Comment se protéger
Dans leur rapport, les experts FireEye proposent plusieurs méthodes de protection qui aident les organisations à prévenir les attaques de piratage DNS:
Activez l'authentification multifacteur (MFA). C'est l'une des exigences que le département américain de la Sécurité intérieure a imposées aux ministères. L'authentification multifacteur complique la tâche des attaquants de se connecter au panneau de contrôle avec les paramètres DNS.
Par exemple, 2FA pourrait empêcher les cybercriminels d'usurper Linux.org début décembre de l'année dernière. Heureusement, l'attaque s'est
limitée uniquement au vandalisme avec le passage à un autre serveur dans DNS.
"L'authentification à deux facteurs est une mesure de sécurité simple qui contribuera à protéger contre les attaques en usurpant la réponse du serveur DNS", a commenté Sergey Belkin, chef du département de développement du fournisseur IaaS 1cloud.ru . - Les fournisseurs de cloud peuvent aider à la protection. En particulier, les utilisateurs de notre hébergement DNS gratuit peuvent rapidement connecter 2FA en utilisant les instructions préparées . De plus, les clients peuvent suivre dans leur profil toutes les modifications apportées aux enregistrements DNS pour s'assurer qu'ils sont fiables. »
Vérifiez les journaux des certificats. Les experts en sécurité de l'information conseillent aux administrateurs de vérifier les certificats à l'aide de l'outil de
transparence des certificats . Il s'agit d'une norme IETF et d'un projet open source qui
stocke des informations sur tous les certificats émis pour un domaine spécifique.
S'il s'avère que certains d'entre eux ont été falsifiés, vous pouvez vous plaindre du certificat et le révoquer. Des outils spéciaux, tels que
SSLMate , vous aideront à suivre les modifications dans les journaux de transparence des certificats.
Basculez vers DNS sur TLS. Pour empêcher les attaques avec interception DNS, certaines entreprises utilisent également
DNS sur TLS (DoT). Il crypte et vérifie les demandes des utilisateurs au serveur DNS et ne permet pas aux attaquants d'usurper les données. Par exemple, la prise en charge du protocole a récemment été
mise en
œuvre dans Google Public DNS.
Perspectives
Les attaques avec interception DNS sont de plus en plus nombreuses et les pirates informatiques ne sont pas toujours intéressés par les données des utilisateurs. Récemment, des dizaines de domaines piratés, dont ceux de Mozilla et Yelp, ont été
utilisés pour envoyer des courriels frauduleux. Dans ce cas, les pirates ont utilisé un schéma d'attaque différent - ils ont pris le contrôle des domaines que les entreprises ont cessé d'utiliser, mais n'ont pas supprimé les enregistrements DNS du fournisseur.
Dans la plupart des cas, les hacks sont à blâmer pour les entreprises qui n'ont pas réglé les problèmes de sécurité à temps. Les fournisseurs de cloud peuvent aider à résoudre ce problème.
Souvent, contrairement aux systèmes d'entreprise, les serveurs DNS des fournisseurs
sont protégés par le protocole
DNSSEC en option. Il protège tous les enregistrements DNS avec une signature numérique, qui ne peut être créée qu'à l'aide d'une clé secrète. Les pirates ne peuvent pas entrer de données arbitraires dans un tel système, il devient donc plus difficile de substituer une réponse du serveur.
Nos articles du blog d'entreprise: