Pemerintah AS dan sejumlah perusahaan keamanan informasi terkemuka baru-baru ini memperingatkan serangkaian serangan pembajakan DNS yang sangat kompleks dan luas yang memungkinkan peretas diduga dari Iran untuk mendapatkan sejumlah besar kata sandi email dan data sensitif lainnya dari beberapa pemerintah dan perusahaan swasta. Namun sejauh ini, perincian tentang apa yang terjadi dan daftar korban telah dirahasiakan.
Dalam artikel ini, kami akan mencoba untuk mengevaluasi skala serangan dan melacak kampanye spionase maya yang sangat sukses ini dari awal hingga serangkaian kegagalan di berbagai penyedia infrastruktur Internet utama.
Sebelum mempelajari penelitian ini, ada baiknya untuk meninjau fakta yang diungkapkan secara publik. Pada tanggal 27 November 2018, unit riset Talos Cisco
menerbitkan laporan yang menggambarkan kampanye spionase dunia maya yang disebut
DNSpionage .
DNS adalah singkatan dari
Domain Name System : sistem nama domain yang berfungsi sebagai semacam buku telepon Internet, menerjemahkan nama situs web yang mudah digunakan (example.com) menjadi alamat IP numerik komputer.
Para ahli Talos menulis bahwa berkat serangan DNSpionage, penjahat cyber dapat memperoleh kredensial email dari organisasi pemerintah dan perusahaan swasta lainnya di Lebanon dan Uni Emirat Arab dengan mengubah catatan DNS, sehingga semua lalu lintas email dan jaringan pribadi virtual (VPN) adalah dialihkan ke alamat IP yang dikendalikan oleh penjahat cyber.
Talos mengatakan bahwa berkat pembajakan DNS, peretas dapat memperoleh sertifikat enkripsi SSL untuk domain target (termasuk webmail.finance.gov.lb), yang memungkinkan mereka untuk mendekripsi lalu lintas dari akun email dan VPN.
Pada tanggal 9 Januari 2019, penyedia layanan keamanan FireEye
menerbitkan laporannya, “Kampanye Pengambilan DNS Global: Manipulasi Besar-besaran dari Catatan DNS,” yang memiliki lebih banyak rincian teknis tentang bagaimana operasi dilakukan, tetapi sedikit rincian tentang para korban.
Sekitar waktu yang sama, Departemen Keamanan Dalam Negeri AS mengeluarkan arahan darurat langka yang
mengharuskan semua lembaga sipil federal AS untuk melindungi kredensial di Internet. Sebagai bagian dari mandat ini, DHS menerbitkan daftar pendek nama domain dan alamat Internet yang digunakan dalam kampanye DNSpionage, meskipun daftar tersebut tidak melampaui apa yang dilaporkan oleh Talos dan FireEye sebelumnya.
Situasi berubah pada 25 Januari 2019, ketika spesialis keamanan informasi di CrowdStrike
memposting daftar hampir semua alamat IP yang digunakan dalam operasi hacker hari ini. Sisa dari kisah ini didasarkan pada data terbuka dan wawancara yang kami lakukan dalam upaya untuk menjelaskan lebih lanjut tentang skala sebenarnya dari serangan luar biasa ini, yang berlanjut hingga hari ini.
DNS pasif
Untuk memulai, saya mengambil semua alamat IP yang disebutkan dalam laporan CrowdStrike dan memeriksanya di layanan
Farsight Security and
SecurityTrails , yang secara pasif mengumpulkan data tentang perubahan catatan DNS yang terkait dengan puluhan juta domain di seluruh dunia.
Memeriksa kembali alamat IP ini memastikan bahwa dalam beberapa bulan terakhir tahun 2018, peretas DNSpionage berhasil mengkompromikan komponen infrastruktur DNS utama untuk lebih dari 50 perusahaan dan agen pemerintah Timur Tengah, termasuk target di Albania, Siprus, Mesir, Irak, Yordania, Kuwait, Lebanon, Libya, Arab Saudi dan UEA.
Misalnya, "data pasif" ini menunjukkan bahwa penyerang dapat mencegat catatan DNS domain
mail.gov.ae , yang melayani email lembaga pemerintah di UEA. Berikut adalah beberapa domain menarik lainnya yang berhasil dikompromikan selama operasi:
-nsa.gov.iq: Dewan Keamanan Nasional Irak
-webmail.mofa.gov.ae: email dari Kementerian Luar Negeri UEA
-shish.gov.al: badan intelijen negara Albania
-mail.mfa.gov.eg: Server surat Kementerian Luar Negeri Mesir
-mod.gov.eg: Kementerian Pertahanan Mesir
-embassy.ly: kedutaan besar Libya
-owa.e-albania.al: Portal Outlook Web Access untuk e-government di Albania
-mail.dgca.gov.kw: server surat Kuwait Civil Aviation Bureau
-gid.gov.jo: Badan Intelijen Umum
Yordania-adpvpn.adpolice.gov.ae: Layanan VPN Polisi Abu Dhabi
-mail.asp.gov.al: email dari polisi negara Albania
-owa.gov.cy: Portal Akses Web Microsoft Outlook untuk Pemerintah Siprus
-webmail.finance.gov.lb: Surat -surat Kementerian Keuangan Lebanon
-mail.petroleum.gov.eg: Kementerian Perminyakan Mesir
-mail.cyta.com.cy: Siprus Telekomunikasi dan Penyedia Internet Cyta
-mail.mea.com.lb: server surat Middle East Airlines
Data DNS pasif dari Farsight dan SecurityTrails juga memberikan petunjuk ketika masing-masing domain ini "ditangkap". Dalam kebanyakan kasus, para penyerang rupanya mengubah catatan DNS untuk domain ini (sedikit kemudian kami akan memberitahu bagaimana ini dilakukan) sehingga mereka menunjuk ke server di bawah kendali mereka di Eropa.
Segera setelah dimulainya serangan - kadang-kadang setelah berminggu-minggu, terkadang berhari-hari atau berjam-jam - penyerang dapat memperoleh sertifikat SSL untuk domain-domain ini dari
Comodo dan / atau otoritas
Enkripsi Let's Let's . Persiapan beberapa serangan dapat ditelusuri ke
crt.sh : basis semua sertifikat SSL baru dengan fungsi pencarian.
Mari kita pertimbangkan satu contoh lebih terinci. Laporan CrowdStrike menyebutkan alamat IP
139.59.134 [.] 216 (lihat di atas), yang, menurut Farsight, telah menampung tujuh domain berbeda selama bertahun-tahun. Tetapi pada Desember 2018, dua yang baru muncul di alamat ini, termasuk domain di Lebanon dan, anehnya, Swedia.
Yang pertama adalah
ns0.idm.net.lb - server
IDM penyedia Internet Lebanon. Dari awal 2014 hingga Desember 2018, entri ns0.idm.net.lb menunjuk ke alamat IP Lebanon
194.126.10 [.] 18 . Tetapi tangkapan layar dari Farsight di bawah ini menunjukkan bahwa pada 18 Desember 2018, catatan DNS untuk penyedia Internet ini diubah dengan mengarahkan lalu lintas yang ditujukan untuk IDM ke penyedia hosting di Jerman (alamat 139.59.134 [.] 216).
Perhatikan domain lain mana yang berada di alamat IP ini 139.59.134 [.] 216 bersama dengan domain IDM, menurut Farsight:
Catatan DNS dari domain
sa1.dnsnode.net dan
fork.sth.dnsnode.net pada bulan Desember juga berubah dari alamat Swedia mereka yang sah menjadi IP dari hoster Jerman. Domain-domain ini dimiliki oleh
Netnod Internet Exchange , penyedia DNS global terbesar di Swedia. Netnod juga mengelola salah satu dari
13 server DNS root : sumber daya kritis yang mendasari sistem DNS global.
Mari kita kembali ke Netnod sebentar lagi. Tapi pertama-tama, mari kita lihat alamat IP lain yang disediakan dalam laporan CrowdStrike sebagai bagian dari infrastruktur yang terkena dampak serangan
DNSpionage :
82.196.11 [.] 127 . Alamat Belanda ini juga meng-host domain
mmfasi [.] Com . Menurut CrowdStrike, ini adalah salah satu domain penyerang yang digunakan sebagai server DNS untuk beberapa domain yang dibajak.
Seperti yang Anda lihat, 82.196.11 [.] 127 untuk sementara meng-host sepasang server DNS Netnod, serta server
ns.anycast.woodynet.net . Ia dijuluki
Bill Woodcock , Direktur Eksekutif
Packet Clearing House (PCH) .
PCH adalah organisasi nirlaba dari California Utara yang juga mengelola sebagian besar infrastruktur DNS global, termasuk melayani lebih dari 500 domain tingkat atas dan sejumlah domain tingkat atas Timur Tengah yang dipengaruhi oleh operasi DNSpionage.
Menyerang pendaftar
Pada 14 Februari, kami menghubungi CEO Netnod, Lars Michael Yogback. Dia mengkonfirmasi bahwa bagian dari infrastruktur DNS Netnod dibajak pada akhir Desember 2018 dan awal Januari 2019 setelah penyerang memperoleh akses ke akun registrar.
Yogbek merujuk pada
pernyataan perusahaan
yang dikeluarkan pada 5 Februari. Dikatakan bahwa Netnod mengetahui keterlibatannya dalam serangan pada 2 Januari, setelah itu, sepanjang waktu, ia bertindak dalam kontak dengan semua pihak dan pelanggan yang berkepentingan.
"Sebagai peserta dalam kerja sama keamanan internasional, pada 2 Januari 2019, Netnod menjadi sadar bahwa kami terlibat dalam serangkaian serangan ini dan diserang dengan sejenis MiTM (pria di tengah)," kata pernyataan itu. - Netnod bukanlah tujuan utama peretas. Menurut informasi yang tersedia, tujuan mereka adalah untuk mengumpulkan kredensial untuk layanan Internet di negara-negara di luar Swedia. "
Pada 15 Februari, PCH Bill Woodcock mengakui kepada saya dalam sebuah wawancara bahwa bagian dari infrastruktur organisasinya juga terganggu.
Setelah mendapatkan akses tidak sah, peretas menyalin catatan domain pch.net dan dnsnode.net ke server yang sama dari pendaftar domain Jerman Key-Systems GmbH dan perusahaan Swedia Frobbit.se. Yang terakhir adalah pengecer Sistem Kunci, dan mereka berbagi infrastruktur Internet yang sama.
Woodcock mengatakan, peretas phishing menipu kredensial yang digunakan PCH untuk mengirim pesan pensinyalan yang dikenal sebagai
Extensible Provisioning Protocol (EPP) atau "Extensible Information Protocol." Ini adalah antarmuka yang kurang dikenal, semacam backend untuk sistem DNS global yang memungkinkan pendaftar domain untuk memberi tahu pendaftar regional (misalnya, Verisign) tentang perubahan dalam catatan domain, termasuk pendaftaran domain baru, perubahan, dan transfer.
"Pada awal Januari, Key-Systems mengumumkan bahwa orang tidak sah yang mencuri kredensial menggunakan antarmuka EPP mereka," kata Woodcock.
Key-Systems menolak mengomentari cerita tersebut. Dia menyatakan bahwa dia tidak membahas detail bisnis pelanggan reseller-nya.
Pernyataan serangan
resmi Netnod membahas permintaan lebih lanjut kepada direktur keamanan Patrick Veltström, yang juga merupakan pemilik bersama Frobbit.se.
Dalam korespondensi dengan kami, Veltstrom mengatakan bahwa peretas berhasil mengirim instruksi EPP ke berbagai pendaftar atas nama Frobbit dan Sistem Kunci.
"Dari sudut pandang saya, ini jelas merupakan versi awal dari serangan besar di masa depan pada EPP," tulis Feltström. - Artinya, tujuannya adalah untuk mengirim perintah EPP yang benar ke pendaftar. Secara pribadi, saya sangat takut dengan apa yang bisa terjadi di masa depan. Haruskah pendaftar mempercayai semua tim dari pendaftar? Kami akan selalu memiliki pendaftar yang rentan, kan? "
DNSSEC
Salah satu aspek yang paling menarik dari serangan ini adalah bahwa Netnod dan PCH adalah pendukung dan pengikut
DNSSEC , sebuah teknologi yang secara khusus melindungi terhadap serangan dari jenis yang dikelola peretas DNSpionage.
DNSSEC melindungi aplikasi dari memalsukan data DNS dengan membutuhkan tanda tangan digital untuk semua permintaan DNS untuk domain atau set domain tertentu. Jika server nama menentukan bahwa catatan alamat domain ini tidak berubah selama transfer, itu menyelesaikan dan memungkinkan pengguna untuk mengunjungi situs. Tetapi jika catatan entah bagaimana berubah atau tidak cocok dengan domain yang diminta, maka server DNS memblokir akses.
Meskipun DNSSEC dapat menjadi alat yang efektif untuk mengurangi serangan seperti itu, hanya sekitar 20% dari jaringan dan situs utama di dunia telah memasukkan dukungan untuk protokol ini, menurut sebuah
studi oleh APNIC, seorang pendaftar Internet di wilayah Asia-Pasifik.
Yogbek mengatakan infrastruktur Netnod dipukul tiga kali sebagai bagian dari operasi DNSpionage. Dua yang pertama terjadi dalam interval dua minggu antara 14 Desember 2018 dan 2 Januari 2019 dan ditujukan pada server yang
tidak dilindungi oleh DNSSEC.
Namun, serangan ketiga antara 29 Desember dan 2 Januari dilakukan pada infrastruktur Netnod,
dilindungi oleh DNSSEC dan melayani jaringan email internalnya sendiri. Karena penyerang sudah memiliki akses ke sistem registrar, mereka berhasil mematikan perlindungan ini untuk sementara waktu - setidaknya kali ini cukup untuk mendapatkan sertifikat SSL dari
dua server mail Netnod .
Ketika penyerang menerima sertifikat, mereka memulai kembali DNSSEC pada server target, mungkin dalam persiapan untuk serangan tahap kedua - mengarahkan lalu lintas email ke server mereka. Tapi Yogbek mengatakan bahwa karena alasan tertentu, para penyerang tidak mematikan DNSSEC lagi ketika mereka mulai mengarahkan lalu lintas.
"Untungnya bagi kita, mereka lupa mematikannya ketika serangan MiTM dimulai," katanya. "Jika mereka lebih berkualitas, mereka akan menghapus DNSSEC dari domain, yang bisa mereka lakukan."
Woodcock mengatakan PCH memeriksa DNSSEC di seluruh infrastruktur, tetapi tidak semua pelanggan perusahaan telah mengkonfigurasi sistem untuk sepenuhnya mengimplementasikan teknologi. Ini terutama berlaku untuk klien di negara-negara Timur Tengah yang menjadi sasaran serangan DNSpionage.
Woodcock mengatakan infrastruktur PCH diserang oleh DNSpionage empat kali dari 13 Desember 2018 hingga 2 Januari 2019. Setiap kali, peretas menggunakan alat untuk mencegat lalu lintas dengan kredensial selama sekitar satu jam, dan kemudian meminimalkan dan mengembalikan jaringan ke keadaan semula.
Pengawasan selama lebih dari satu jam akan menjadi berlebihan, karena sebagian besar ponsel cerdas modern dikonfigurasikan untuk terus-menerus memeriksa email. Jadi, hanya dalam satu jam, peretas dapat mengumpulkan kredensial yang sangat besar.
2 Januari 2019 - hari yang sama ketika serangan terhadap server surat internal Netnod terjadi - para peretas langsung menyerang PCH, setelah memperoleh sertifikat Comodo SSL dari
dua domain PCH, yang juga digunakan untuk pengiriman surat internal perusahaan.
Woodcock mengatakan bahwa berkat DNSSEC, serangan itu hampir sepenuhnya dinetralkan, tetapi para peretas dapat memperoleh kredensial email dari dua karyawan yang sedang berlibur pada waktu itu. Perangkat seluler mereka mengunduh email melalui WiFi di hotel, oleh karena itu (sesuai dengan ketentuan layanan WiFi), mereka menggunakan server DNS hotel, dan bukan sistem DNNSEC yang mendukung PCH.
"Kedua korban sedang berlibur dengan iPhone mereka pada saat itu, dan mereka harus melalui portal yang dikompromikan ketika menerima surat," kata Woodcock. “Ketika mereka mengakses, mereka harus memutuskan server nama kami, dan selama waktu ini klien email mereka memeriksa email baru. Terlepas dari ini, DNSSEC menyelamatkan kami dari penangkapan total. "
Karena PCH melindungi domainnya dengan DNSSEC, efek praktis peretasan infrastruktur email adalah bahwa selama sekitar satu jam tidak ada seorang pun kecuali dua karyawan jarak jauh yang menerima surat.
"Faktanya, untuk semua pengguna kami, server email tidak tersedia untuk waktu yang singkat," kata Woodcock. - Orang-orang hanya melihat telepon, tidak melihat surat-surat baru dan berpikir: aneh, saya akan periksa nanti. Dan ketika mereka memeriksa waktu berikutnya, semuanya bekerja dengan baik. Sekelompok karyawan kami memperhatikan penghentian layanan surat jangka pendek, tetapi ini tidak menjadi masalah yang terlalu serius untuk memulai diskusi atau seseorang untuk mendaftarkan tiket. ”
Tetapi peretas DNSpionage tidak menghentikannya. Dalam buletin untuk klien, PCH mengatakan bahwa penyelidikan dilakukan meretas situs dengan basis data pengguna pada 24 Januari. Basis data berisi nama pengguna, hash kata sandi bcrypt, email, alamat, dan nama perusahaan.
"Kami tidak melihat bukti bahwa penyerang telah mengakses database," kata laporan itu. "Oleh karena itu, kami melaporkan informasi ini untuk transparansi dan kehati-hatian, dan bukan karena kami menganggap data yang dikompromikan."
Tingkat mahir
Beberapa ahli yang kami wawancarai sehubungan dengan cerita ini menyebutkan masalah kronis organisasi dalam melindungi lalu lintas DNS mereka. Banyak yang melihatnya sebagai sesuatu yang diberikan, tidak menyimpan catatan dan tidak memantau perubahan dalam catatan domain.
Bahkan untuk perusahaan yang mencoba memantau infrastruktur DNS mereka untuk perubahan yang mencurigakan, beberapa layanan pemantauan memeriksa catatan DNS secara pasif atau hanya sekali sehari. Woodcock mengkonfirmasi bahwa PCH mengandalkan tidak kurang dari tiga sistem pemantauan, tetapi tidak satupun dari mereka yang memperingatkan pencurian data DNS per jam yang menimpa sistem PCH.
Woodcock mengatakan bahwa sejak itu PCH telah menerapkan sistem pemantauan infrastruktur DNS sendiri beberapa kali per jam, yang segera memperingatkan setiap perubahan.
Yogbek mengatakan Netnod juga memperketat pengawasan dan melipatgandakan upaya untuk mengimplementasikan semua opsi keamanan infrastruktur domain yang tersedia. Misalnya, sebelum perusahaan tidak
memblokir catatan untuk semua domainnya. Perlindungan ini memberikan otentikasi tambahan sebelum membuat perubahan apa pun pada catatan.
"Kami sangat menyesal bahwa kami tidak memberikan perlindungan maksimal bagi pelanggan kami, tetapi kami sendiri menjadi korban dalam rantai serangan," kata Yogbek. - Setelah perampokan, Anda dapat membangun kastil terbaik dan berharap bahwa sekarang akan menjadi lebih sulit untuk mengulangi hal seperti itu. Saya benar-benar dapat mengatakan bahwa kami belajar banyak dengan menjadi korban serangan ini, dan sekarang kami merasa jauh lebih percaya diri daripada sebelumnya. "
Woodcock prihatin bahwa mereka yang bertanggung jawab untuk mengimplementasikan protokol baru dan layanan infrastruktur lainnya tidak menganggap serius ancaman global serangan DNS. Dia yakin bahwa peretas DNSpionage akan memecahkan banyak lagi perusahaan dan organisasi dalam beberapa bulan dan tahun mendatang.
"Pertempuran sedang berlangsung sekarang," katanya. "Orang-orang Iran tidak melakukan serangan-serangan ini untuk efek jangka pendek." Mereka berusaha menembus infrastruktur Internet cukup dalam untuk mencapai apa yang mereka inginkan kapan saja. Mereka ingin memberi diri mereka banyak pilihan untuk bermanuver di masa depan. "
Rekomendasi
John Crane adalah Kepala Keamanan, Stabilitas dan Ketahanan di ICANN, organisasi nirlaba yang mengawasi industri nama domain global. Dia mengatakan banyak metode pencegahan dan perlindungan yang dapat membuat penyerang sulit mengambil alih domain atau infrastruktur DNS telah dikenal selama lebih dari satu dekade.
"Banyak yang terkait dengan kebersihan data," kata Crane.
- Baik organisasi besar, maupun bisnis terkecil, memperhatikan beberapa metode keamanan yang sangat sederhana, seperti otentikasi multi-faktor. Saat ini, jika Anda memiliki perlindungan suboptimal, Anda akan diretas. Inilah kenyataan hari ini. Kami melihat lawan yang jauh lebih canggih di Internet, dan jika Anda tidak memberikan perlindungan dasar, mereka akan memukul Anda. "Beberapa praktik keamanan terbaik untuk organisasi adalah:- Gunakan DNSSEC (untuk menandatangani dan memverifikasi respons)
- Gunakan fitur pendaftaran seperti Kunci Registri untuk membantu melindungi catatan nama domain agar tidak diubah
- Gunakan daftar kontrol akses untuk aplikasi, lalu lintas internet dan pemantauan
- , ,
- , , Certificate Transparency Logs