Le gouvernement américain et un certain nombre de grandes sociétés de sécurité de l'information ont récemment mis en garde contre une série d'attaques de détournement de DNS très complexes et généralisées qui ont permis à des pirates informatiques iraniens d'obtenir une énorme quantité de mots de passe de messagerie et d'autres données sensibles de plusieurs gouvernements et sociétés privées. Mais jusqu'à présent, les détails de ce qui s'est passé et la liste des victimes sont restés secrets.
Dans cet article, nous allons essayer d'évaluer l'ampleur des attaques et retracer cette campagne de cyberespionnage extrêmement réussie depuis le début jusqu'à une série de défaillances en cascade chez les principaux fournisseurs d'infrastructure Internet.
Avant de plonger dans l'étude, il est utile de passer en revue les faits divulgués publiquement. Le 27 novembre 2018, l'unité de recherche Talos de Cisco a
publié un rapport décrivant une campagne de cyberespionnage avancée appelée
DNSpionage .
DNS est l'abréviation de
Domain Name System : un système de noms de domaine qui sert de sorte d'annuaire téléphonique Internet, traduisant des noms de sites Web pratiques (example.com) en une adresse IP numérique.
Les experts de Talos ont écrit que grâce à l'attaque DNSpionage, les cybercriminels ont pu obtenir des informations d'identification par e-mail auprès d'autres organisations gouvernementales et entreprises privées au Liban et aux Émirats arabes unis en modifiant les enregistrements DNS, de sorte que tout le trafic de messagerie et de réseau privé virtuel (VPN) était redirigé vers une adresse IP contrôlée par des cybercriminels.
Talos a déclaré que grâce au détournement de DNS, les pirates ont pu obtenir des certificats de cryptage SSL pour les domaines cibles (y compris webmail.finance.gov.lb), ce qui leur a permis de décrypter le trafic des comptes de messagerie et des VPN.
Le 9 janvier 2019, le fournisseur de services de sécurité FireEye a
publié son rapport, «La campagne mondiale de capture DNS: manipulation massive des enregistrements DNS», qui contient des détails beaucoup plus techniques sur la façon dont l'opération a été effectuée, mais peu de détails sur les victimes.
À peu près à la même époque, le département américain de la Sécurité intérieure a publié une rare directive d'urgence qui
oblige toutes les agences civiles fédérales américaines à protéger leurs informations d'identification sur Internet. Dans le cadre de ce mandat, le DHS a publié une courte liste de noms de domaine et d'adresses Internet utilisés dans la campagne DNSpionage, bien que cette liste n'aille pas au-delà de ce que Cisco Talos et FireEye ont précédemment rapporté.
La situation a changé le 25 janvier 2019, lorsque les spécialistes de la sécurité de l'information chez CrowdStrike ont
publié une liste de presque toutes les adresses IP qui ont été utilisées dans l'opération de piratage aujourd'hui. Le reste de cette histoire est basé sur des données ouvertes et des entretiens que nous avons menés pour tenter de faire la lumière sur l'ampleur réelle de cette attaque extraordinaire, qui se poursuit à ce jour.
DNS passif
Pour commencer, j'ai pris toutes les adresses IP mentionnées dans le rapport CrowdStrike et les ai vérifiées dans les services
Farsight Security et
SecurityTrails , qui collectent passivement des données sur les changements d'enregistrement DNS associés à des dizaines de millions de domaines à travers le monde.
La vérification de ces adresses IP a permis de s'assurer qu'au cours des derniers mois de 2018, les pirates DNSpionage ont réussi à compromettre les principaux composants de l'infrastructure DNS de plus de 50 entreprises et agences gouvernementales du Moyen-Orient, y compris des cibles en Albanie, à Chypre, en Égypte, en Irak, en Jordanie, Koweït, Liban, Libye, Arabie saoudite et Émirats arabes unis.
Par exemple, ces «données passives» indiquent que les attaquants ont pu intercepter les enregistrements DNS du domaine
mail.gov.ae , qui sert le courrier électronique des agences gouvernementales aux Émirats arabes unis. Voici quelques autres domaines intéressants qui ont été compromis avec succès pendant l'opération:
-nsa.gov.iq: Conseil de sécurité nationale irakien
-webmail.mofa.gov.ae: courriel du ministère des Affaires étrangères des EAU
-shish.gov.al: service national de renseignement de l'Albanie
-mail.mfa.gov.eg: serveur de messagerie du ministère égyptien des Affaires étrangères
-mod.gov.eg: Ministère égyptien de la défense
-embassy.ly: ambassade de Libye
-owa.e-albania.al: Portail Outlook Web Access pour l'administration en ligne en Albanie
-mail.dgca.gov.kw: serveur de messagerie du Bureau de l'aviation civile du Koweït
-gid.gov.jo: Agence
jordanienne de renseignement général
-adpvpn.adpolice.gov.ae: Service VPN de police d'Abu Dhabi
-mail.asp.gov.al: courriel de la police d'État albanaise
-owa.gov.cy: Portail d'accès Web Microsoft Outlook pour le gouvernement de Chypre
-webmail.finance.gov.lb: courrier du ministère libanais des finances
-mail.petroleum.gov.eg: Ministère égyptien du pétrole
-mail.cyta.com.cy: Chypre, fournisseur de télécommunications et Internet Cyta
-mail.mea.com.lb: serveur de messagerie de Middle East Airlines
Les données DNS passives de Farsight et SecurityTrails donnent également des indices lorsque chacun de ces domaines est «capturé». Dans la plupart des cas, les attaquants ont apparemment modifié les enregistrements DNS de ces domaines (un peu plus tard, nous dirons comment cela se fait) afin qu'ils pointent vers les serveurs sous leur contrôle en Europe.
Peu après le début de l'attaque - parfois après des semaines, parfois des jours ou des heures - les attaquants ont pu obtenir des certificats SSL pour ces domaines auprès de
Comodo et / ou de
Let's Encrypt , les autorités de certification. La préparation de plusieurs attaques peut être retracée à
crt.sh : la base de tous les nouveaux certificats SSL avec une fonction de recherche.
Prenons un exemple plus en détail. Le rapport CrowdStrike mentionne l'adresse IP
139.59.134 [.] 216 (voir ci-dessus), qui, selon Farsight, a hébergé sept domaines différents au fil des ans. Mais en décembre 2018, deux nouveaux sont apparus à cette adresse, dont des domaines au Liban et, curieusement, en Suède.
Le premier d'entre eux est
ns0.idm.net.lb - le serveur du fournisseur Internet libanais
IDM . De début 2014 à décembre 2018, l'entrée ns0.idm.net.lb pointait vers l'adresse IP libanaise
194.126.10 [.] 18 . Mais la capture d'écran de Farsight ci-dessous montre que le 18 décembre 2018, les enregistrements DNS de ce fournisseur Internet ont changé en redirigeant le trafic destiné à IDM vers un fournisseur d'hébergement en Allemagne (adresse 139.59.134 [.] 216).
Notez quels autres domaines sont assis sur cette adresse IP 139.59.134 [.] 216 avec le domaine IDM, selon Farsight:
Les enregistrements DNS des domaines
sa1.dnsnode.net et
fork.sth.dnsnode.net en décembre sont également passés de leurs adresses suédoises légitimes à l'adresse IP d'un hébergeur allemand. Ces domaines appartiennent à
Netnod Internet Exchange , le plus grand fournisseur DNS mondial de Suède. Netnod gère également l'un des
13 serveurs DNS racine : une ressource critique qui sous-tend le système DNS mondial.
Revenons à Netnod un peu plus tard. Mais d'abord, examinons une autre adresse IP fournie dans le rapport CrowdStrike dans le cadre de l'infrastructure affectée par l'attaque
DNSpionage :
82.196.11 [.] 127 . Cette adresse néerlandaise héberge également le domaine
mmfasi [.] Com . Selon CrowdStrike, il s'agit de l'un des domaines de l'attaquant qui a été utilisé comme serveur DNS pour certains des domaines piratés.
Comme vous pouvez le voir, 82.196.11 [.] 127 a hébergé temporairement une autre paire de serveurs DNS Netnod, ainsi que le serveur
ns.anycast.woodynet.net . Il est surnommé
Bill Woodcock , directeur exécutif de
Packet Clearing House (PCH) .
PCH est une organisation à but non lucratif du nord de la Californie qui gère également une partie importante de l'infrastructure DNS mondiale, y compris plus de 500 domaines de premier niveau et un certain nombre de domaines de premier niveau du Moyen-Orient affectés par l'opération DNSpionage.
Attaque contre les bureaux d'enregistrement
Le 14 février, nous avons contacté le PDG de Netnod, Lars Michael Yogback. Il a confirmé qu'une partie de l'infrastructure DNS de Netnod avait été détournée fin décembre 2018 et début janvier 2019 après que les attaquants aient eu accès aux comptes du registraire.
Yogbek a fait référence à
une déclaration d' entreprise publiée le 5 février. Il indique que Netnod a appris son implication dans l'attaque du 2 janvier, après quoi, pendant tout le temps, il a agi en contact avec toutes les parties intéressées et les clients.
"En tant que participant à la coopération internationale en matière de sécurité, le 2 janvier 2019, Netnod a pris conscience que nous étions impliqués dans cette série d'attaques et avons été attaqués avec un type de MiTM (homme au milieu)", indique le communiqué. - Netnod n'est pas le but ultime des pirates. Selon les informations disponibles, leur objectif est de collecter les informations d'identification pour les services Internet dans les pays en dehors de la Suède. "
Le 15 février, PCH Bill Woodcock m'a admis dans une interview que certaines parties de l'infrastructure de son organisation étaient également compromises.
Après avoir obtenu un accès non autorisé, les pirates ont copié les enregistrements des domaines pch.net et dnsnode.net sur les mêmes serveurs du registraire de domaine allemand Key-Systems GmbH et de la société suédoise Frobbit.se. Ce dernier est revendeur de Key Systems, et ils partagent la même infrastructure Internet.
Woodcock a déclaré que les pirates de phishing ont trompé les informations d'identification utilisées par PCH pour envoyer des messages de signalisation connus sous le nom de
protocole de provisionnement extensible (EPP) ou «protocole d'information extensible». Il s'agit d'une interface peu connue, une sorte de backend pour le système DNS mondial qui permet aux bureaux d'enregistrement de domaine de notifier les registres régionaux (par exemple, Verisign) des changements dans les enregistrements de domaine, y compris l'enregistrement de nouveaux domaines, les changements et les transferts.
"Début janvier, Key-Systems a annoncé que des personnes non autorisées qui ont volé des informations d'identification ont utilisé leur interface EPP", a déclaré Woodcock.
Key-Systems a refusé de commenter l'histoire. Elle a déclaré qu'elle ne discutait pas des détails commerciaux de ses clients revendeurs.
La
déclaration d' attaque
officielle de Netnod adresse de nouvelles demandes au directeur de la sécurité, Patrick Veltström, qui est également copropriétaire de Frobbit.se.
Dans une correspondance avec nous, Veltstrom a déclaré que les pirates avaient réussi à envoyer des instructions EPP à divers registres au nom de Frobbit et de Key Systems.
"De mon point de vue, il s'agit évidemment d'une première version d'une future attaque majeure contre le PPE", a écrit Feltström. - Autrement dit, l'objectif était d'envoyer les commandes EPP correctes aux registres. Personnellement, j'ai très peur de ce qui pourrait arriver à l'avenir. Les registres doivent-ils faire confiance à toutes les équipes des bureaux d'enregistrement? Nous aurons toujours des bureaux d'enregistrement vulnérables, non? "
DNSSEC
L'un des aspects les plus intéressants de ces attaques est que Netnod et PCH sont des partisans de haut niveau et des adeptes de
DNSSEC , une technologie qui protège spécifiquement contre les attaques du type que les pirates DNSpionage ont réussi à utiliser.
DNSSEC protège les applications contre les fausses données DNS en exigeant une signature numérique pour toutes les requêtes DNS pour un domaine ou un ensemble de domaines donné. Si le serveur de noms détermine que l'enregistrement d'adresse de ce domaine n'a pas changé pendant le transfert, il résout et permet à l'utilisateur de visiter le site. Mais si l'enregistrement a en quelque sorte changé ou ne correspond pas au domaine demandé, le serveur DNS bloque l'accès.
Bien que DNSSEC puisse être un outil efficace pour atténuer de telles attaques, seulement environ 20% des principaux réseaux et sites dans le monde ont inclus la prise en charge de ce protocole, selon une
étude réalisée par APNIC, un registraire Internet dans la région Asie-Pacifique.
Yogbek a déclaré que l'infrastructure Netnod avait été touchée trois fois dans le cadre de l'opération DNSpionage. Les deux premiers se sont produits dans l'intervalle de deux semaines entre le 14 décembre 2018 et le 2 janvier 2019 et visaient des serveurs
non protégés par DNSSEC.
Cependant, une troisième attaque entre le 29 décembre et le 2 janvier a été menée sur l'infrastructure Netnod,
protégée par DNSSEC et desservant son propre réseau de messagerie interne. Étant donné que les attaquants avaient déjà accès aux systèmes d'enregistrement, ils ont réussi à désactiver cette protection pendant un court moment - au moins cette fois était suffisant pour obtenir les certificats SSL de
deux serveurs de messagerie Netnod .
Lorsque les attaquants ont reçu les certificats, ils ont redémarré DNSSEC sur les serveurs cibles, probablement en préparation de la deuxième étape de l'attaque - rediriger le trafic de messagerie vers leurs serveurs. Mais Yogbek dit que pour une raison quelconque, les attaquants n'ont pas désactivé DNSSEC à nouveau lorsqu'ils ont commencé à rediriger le trafic.
"Heureusement pour nous, ils ont oublié de l'éteindre lorsque l'attaque MiTM a commencé", a-t-il déclaré. «S'ils étaient plus qualifiés, ils auraient supprimé DNSSEC du domaine, ce qu'ils auraient pu faire.»
Woodcock dit que PCH vérifie DNSSEC sur l'ensemble de l'infrastructure, mais tous les clients de la société n'ont pas configuré de systèmes pour mettre pleinement en œuvre la technologie. Cela est particulièrement vrai pour les clients des pays du Moyen-Orient qui sont ciblés par l'attaque DNSpionage.
Woodcock a déclaré que l'infrastructure PCH a été attaquée par DNSpionage à quatre reprises du 13 décembre 2018 au 2 janvier 2019. Chaque fois, les pirates ont utilisé des outils pour intercepter le trafic avec des informations d'identification pendant environ une heure, puis ont réduit et ramené le réseau à son état d'origine.
La surveillance pendant plus d'une heure serait redondante, car la plupart des smartphones modernes sont configurés pour vérifier en permanence les e-mails. Ainsi, en seulement une heure, les pirates ont pu collecter une très grande quantité d'informations d'identification.
2 janvier 2019 - le même jour que l'attaque contre les serveurs de messagerie internes de Netnod a eu lieu - des pirates ont directement attaqué PCH, ayant obtenu des certificats SSL Comodo de
deux domaines PCH, via lesquels le courrier interne de l'entreprise passe également.
Woodcock a déclaré que grâce à DNSSEC, l'attaque a été presque complètement neutralisée, mais les pirates ont pu obtenir les informations d'identification par e-mail de deux employés qui étaient en vacances à ce moment-là. Leurs appareils mobiles ont téléchargé le courrier via WiFi à l'hôtel, donc (selon les conditions du service WiFi) ils ont utilisé les serveurs DNS de l'hôtel, et non les systèmes DNNSEC compatibles PCH.
"Les deux victimes étaient en vacances avec leurs iPhones à l'époque, et elles ont dû passer par des portails compromis lors de la réception du courrier", a déclaré Woodcock. «Lorsqu'ils y ont accédé, ils ont dû déconnecter nos serveurs de noms, et pendant ce temps, leurs clients de messagerie ont recherché de nouveaux messages. En dehors de cela, DNSSEC nous a sauvés d'une capture totale. »
Étant donné que PCH protège ses domaines avec DNSSEC, le piratage de l'infrastructure de messagerie a eu pour effet pratique que pendant environ une heure, seuls deux employés distants ont reçu des lettres.
"En fait, pour tous nos utilisateurs, le serveur de messagerie était indisponible pendant une courte période", a déclaré Woodcock. - Les gens ont juste regardé le téléphone, n'ont pas vu de nouvelles lettres et ont pensé: étrange, je vérifierai plus tard. Et quand ils ont vérifié la prochaine fois, tout a bien fonctionné. Un groupe de nos employés a remarqué une interruption à court terme du service postal, mais cela n'est pas devenu un problème trop grave pour qu'une discussion ne démarre ou que quelqu'un enregistre un ticket. »
Mais les pirates DNSpionage ne l'ont pas arrêté. Dans un bulletin d'information destiné aux clients, PCH a déclaré que l'enquête effectuée avait piraté un site avec une base de données d'utilisateurs le 24 janvier. La base de données contient des noms d'utilisateur, des hachages de mot de passe bcrypt, des e-mails, des adresses et des noms d'entreprises.
"Nous ne voyons aucune preuve que les attaquants ont accédé à la base de données", indique le rapport. "Par conséquent, nous rapportons ces informations pour plus de transparence et de prudence, et non parce que nous considérons que les données sont compromises."
Niveau avancé
Plusieurs experts que nous avons interrogés à propos de cette histoire ont mentionné les problèmes chroniques des organisations dans la protection de leur trafic DNS. Beaucoup le perçoivent comme une donnée, ne tiennent pas de journaux et ne surveillent pas les changements dans les enregistrements de domaine.
Même pour les entreprises qui tentent de surveiller leur infrastructure DNS pour détecter les modifications suspectes, certains services de surveillance vérifient les enregistrements DNS passivement ou une fois par jour. Woodcock a confirmé que PCH comptait sur pas moins de trois systèmes de surveillance, mais aucun d'entre eux n'a averti du vol toutes les heures des enregistrements DNS qui frappaient les systèmes PCH.
Woodcock a déclaré que depuis lors, PCH a mis en place son propre système de surveillance d'infrastructure DNS plusieurs fois par heure, ce qui avertit immédiatement de tout changement.
Yogbek a déclaré que Netnod a également resserré la surveillance et redoublé d'efforts pour mettre en œuvre toutes les options de sécurité de l'infrastructure de domaine disponibles. Par exemple, avant qu'une entreprise ne
bloque les enregistrements pour tous ses domaines. Cette protection fournit une authentification supplémentaire avant d'apporter des modifications aux enregistrements.
"Nous sommes désolés de ne pas avoir fourni une protection maximale à nos clients, mais nous sommes nous-mêmes devenus la victime d'une chaîne d'attaques", a déclaré Yogbek. - Après le vol, vous pouvez établir le meilleur château et espérer que maintenant il sera plus difficile de répéter une telle chose. Je peux vraiment dire que nous avons beaucoup appris en devenant victime de cette attaque, et maintenant nous nous sentons beaucoup plus confiants qu'auparavant. »
Woodcock craint que les responsables de la mise en œuvre des nouveaux protocoles et autres services d'infrastructure ne prennent pas au sérieux la menace mondiale des attaques DNS. Il est convaincu que les pirates DNSpionage vont pirater beaucoup plus d'entreprises et d'organisations dans les mois et les années à venir.
"La bataille est en cours en ce moment", a-t-il déclaré.
«Les Iraniens ne mènent pas ces attaques pour un effet à court terme.» Ils essaient de pénétrer l'infrastructure Internet suffisamment profondément pour accomplir ce qu'ils veulent à tout moment. Ils veulent se donner autant d'options de manœuvre à l'avenir. "Recommandations
— , ICANN, , . , , DNS, .
« , — . — , , , . , , . . , , ».
: