O governo dos EUA e várias empresas líderes em segurança da informação alertaram recentemente sobre uma série de ataques de seqüestro de DNS muito complexos e generalizados que permitiram que hackers supostamente do Irã obtivessem uma quantidade enorme de senhas de email e outros dados confidenciais de vários governos e empresas privadas. Mas até agora, os detalhes do que aconteceu e a lista de vítimas foram mantidos em segredo.
Neste artigo, tentaremos avaliar a escala de ataques e rastrear essa campanha de espionagem cibernética extremamente bem-sucedida desde o início até uma série de falhas em cascata nos principais fornecedores de infraestrutura da Internet.
Antes de aprofundar o estudo, é útil revisar os fatos divulgados publicamente. Em 27 de novembro de 2018, a unidade de pesquisa Talos da Cisco
publicou um relatório descrevendo uma campanha avançada de espionagem cibernética chamada
DNSpionage .
DNS significa
Sistema de Nomes de Domínio : um sistema de nomes de domínio que serve como uma espécie de lista telefônica da Internet, traduzindo nomes de sites convenientes (exemplo.com) em um endereço IP numérico de computador.
Os especialistas da Talos escreveram que, graças ao ataque de DNSpionage, os atacantes conseguiram obter credenciais de email e outros serviços de várias organizações governamentais e empresas privadas no Líbano e nos Emirados Árabes Unidos, alterando os registros DNS, para que todo o tráfego de email e rede virtual privada (VPN) fosse redirecionado para um endereço IP controlado por cibercriminosos.
Talos disse que, graças ao seqüestro de DNS, os hackers conseguiram obter certificados de criptografia SSL para domínios de destino (incluindo webmail.finance.gov.lb), o que lhes permitiu descriptografar o tráfego de contas de email e VPNs.
Em 9 de janeiro de 2019, o provedor de serviços de segurança FireEye
publicou seu relatório, "A Campanha Global de Captura de DNS: Manipulação Maciça de Registros DNS", que possui muito mais detalhes técnicos sobre como a operação foi realizada, mas poucos detalhes sobre as vítimas.
Na mesma época, o Departamento de Segurança Interna dos EUA emitiu uma diretiva de emergência rara que
exige que todas as agências federais civis dos EUA protejam credenciais na Internet. Como parte desse mandato, o DHS publicou uma pequena lista de nomes de domínio e endereços da Internet usados na campanha de DNSpionage, embora a lista não vá além do que o Cisco Talos e o FireEye relataram anteriormente.
A situação mudou em 25 de janeiro de 2019, quando especialistas em segurança da informação da CrowdStrike
publicaram uma lista de quase todos os endereços IP que foram usados hoje na operação de hackers. O restante desta história é baseado em dados abertos e entrevistas que realizamos na tentativa de esclarecer a verdadeira escala desse ataque extraordinário, que continua até hoje.
DNS passivo
Para começar, peguei todos os endereços IP mencionados no relatório CrowdStrike e os verifiquei nos serviços
Farsight Security and
SecurityTrails , que coletam passivamente dados sobre alterações de registros DNS associadas a dezenas de milhões de domínios em todo o mundo.
A verificação desses endereços IP garantiu que, nos últimos meses de 2018, os hackers do DNSpionage conseguiram comprometer os principais componentes da infraestrutura DNS para mais de 50 empresas e agências governamentais do Oriente Médio, incluindo alvos na Albânia, Chipre, Egito, Iraque, Jordânia, Kuwait, Líbano, Líbia, Arábia Saudita e Emirados Árabes Unidos.
Por exemplo, esses "dados passivos" indicam que os invasores conseguiram interceptar os registros DNS do domínio
mail.gov.ae , que serve o email de agências governamentais nos Emirados Árabes Unidos. Aqui estão apenas alguns outros domínios interessantes que foram comprometidos com sucesso durante a operação:
-nsa.gov.iq: Conselho de Segurança Nacional do Iraque
-webmail.mofa.gov.ae: email do Ministério das Relações Exteriores dos Emirados Árabes Unidos
-shish.gov.al: serviço de inteligência do estado da Albânia
-mail.mfa.gov.eg: servidor de correio do Ministério das Relações Exteriores do Egito
-mod.gov.eg: Ministério da Defesa egípcio
-embassy.ly: embaixada da Líbia
-owa.e-albania.al: portal do Outlook Web Access para governo eletrônico na Albânia
-mail.dgca.gov.kw: servidor de correio do Kuwait Civil Aviation Bureau
-gid.gov.jo: Agência de Inteligência Geral da
Jordânia-adpvpn.adpolice.gov.ae: Serviço de VPN da polícia de Abu Dhabi
-mail.asp.gov.al: e
- mail da polícia estadual da Albânia
-owa.gov.cy: Portal do Microsoft Outlook Web Access para o Governo de Chipre
-webmail.finance.gov.lb: Correio do Ministério das Finanças do Líbano
-mail.petroleum.gov.eg: Ministério do Petróleo do Egito
-mail.cyta.com.cy: Chipre Telecomunicações e provedor de Internet Cyta
-mail.mea.com.lb: servidor de correio da Middle East Airlines
Os dados DNS passivos do Farsight e SecurityTrails também fornecem pistas quando cada um desses domínios é "capturado". Na maioria dos casos, os invasores aparentemente alteraram os registros DNS para esses domínios (um pouco mais tarde, contaremos como isso é feito) para que apontem para os servidores sob seu controle na Europa.
Logo após o início do ataque - às vezes após semanas, às vezes dias ou horas - os invasores conseguiram obter certificados SSL para esses domínios das autoridades de certificação da
Comodo e / ou
Let's Encrypt . A preparação de vários ataques pode ser atribuída ao
crt.sh : a base de todos os novos certificados SSL com uma função de pesquisa.
Vamos considerar um exemplo com mais detalhes. O relatório da CrowdStrike menciona o endereço IP
139.59.134 [.] 216 (veja acima), que, segundo a Farsight, hospedou sete domínios diferentes ao longo dos anos. Mas em dezembro de 2018, dois novos apareceram neste endereço, incluindo domínios no Líbano e, curiosamente, na Suécia.
O primeiro deles é o
ns0.idm.net.lb - o servidor do provedor de Internet libanês
IDM . Do início de 2014 a dezembro de 2018, a entrada ns0.idm.net.lb apontou para o endereço IP libanês
194.126.10 [.] 18 . Mas a captura de tela da Farsight abaixo mostra que, em 18 de dezembro de 2018, os registros DNS desse provedor de Internet foram alterados redirecionando o tráfego destinado ao IDM para um provedor de hospedagem na Alemanha (endereço 139.59.134 [.] 216).
Observe que outros domínios estão neste endereço IP 139.59.134 [.] 216 junto com o domínio IDM, de acordo com a Farsight:
Os registros DNS dos domínios
sa1.dnsnode.net e
fork.sth.dnsnode.net em dezembro também mudaram de seus endereços suecos legítimos para o IP de um host alemão. Esses domínios pertencem ao
Netnod Internet Exchange , o maior provedor de DNS global da Suécia. O Netnod também gerencia um dos
13 servidores DNS raiz : um recurso crítico subjacente ao sistema DNS global.
Vamos voltar ao Netnod um pouco mais tarde. Mas primeiro, vejamos outro endereço IP fornecido no relatório CrowdStrike como parte da infraestrutura afetada pelo ataque de
invasão de DNS :
82.196.11 [.] 127 . Este endereço holandês também hospeda o domínio
mmfasi [.] Com . De acordo com o CrowdStrike, esse é um dos domínios do invasor que foi usado como servidor DNS para alguns dos domínios seqüestrados.
Como você pode ver, 82.196.11 [.] 127 hospedou temporariamente outro par de servidores DNS Netnod, bem como o servidor
ns.anycast.woodynet.net . Ele é apelidado de
Bill Woodcock , diretor executivo da
Packet Clearing House (PCH) .
A PCH é uma organização sem fins lucrativos do norte da Califórnia que também gerencia uma parte significativa da infraestrutura global do DNS, incluindo o atendimento a mais de 500 domínios de nível superior e vários domínios de nível superior no Oriente Médio afetados pela operação de DNSpionage.
Ataque a registradores
Em 14 de fevereiro, contatamos o CEO da Netnod, Lars Michael Yogback. Ele confirmou que parte da infraestrutura do Netnod DNS foi invadida no final de dezembro de 2018 e no início de janeiro de 2019, depois que os invasores obtiveram acesso às contas dos registradores.
Yogbek se referiu a
uma declaração da empresa emitida em 5 de fevereiro. Ele afirma que a Netnod soube do seu envolvimento no ataque em 2 de janeiro, após o qual, durante todo o tempo, atuou em contato com todas as partes interessadas e clientes.
“Como participante da cooperação internacional em segurança, em 2 de janeiro de 2019, a Netnod percebeu que estávamos envolvidos nesta série de ataques e que foram atacados com um tipo de MiTM (homem do meio)”, afirma o comunicado. - Netnod não é o objetivo final dos hackers. De acordo com as informações disponíveis, seu objetivo é coletar credenciais para serviços de Internet em países fora da Suécia. ”
Em 15 de fevereiro, o PCH Bill Woodcock admitiu em uma entrevista que partes da infraestrutura de sua organização também estavam comprometidas.
Após obter acesso não autorizado, os hackers copiaram os registros dos domínios pch.net e dnsnode.net para os mesmos servidores do registrador de domínios alemão Key-Systems GmbH e da empresa sueca Frobbit.se. O último é um revendedor da Key Systems, e eles compartilham a mesma infraestrutura da Internet.
Woodcock disse que os hackers de phishing enganaram as credenciais que a PCH usava para enviar mensagens de sinalização conhecidas como
Extensible Provisioning Protocol (EPP) ou "Extensible Information Protocol". Essa é uma interface pouco conhecida, um tipo de back-end para o sistema DNS global que permite que os registradores de domínio notifiquem os registros regionais (por exemplo, Verisign) de alterações nos registros de domínio, incluindo o registro de novos domínios, alterações e transferências.
"No início de janeiro, a Key-Systems anunciou que pessoas não autorizadas que roubavam credenciais usavam sua interface EPP", disse Woodcock.
A Key-Systems se recusou a comentar a história. Ela afirmou que não estava discutindo os detalhes comerciais de seus clientes revendedores.
A
declaração oficial de ataque da Netnod dirige outras solicitações ao diretor de segurança Patrick Veltström, que também é co-proprietário do Frobbit.se.
Em uma correspondência conosco, Veltstrom disse que os hackers conseguiram enviar instruções do EPP para vários registros em nome da Frobbit e da Key Systems.
"Do meu ponto de vista, esta é obviamente uma versão inicial de um futuro grande ataque ao EPP", escreveu Feltström. - Ou seja, o objetivo era enviar os comandos EPP corretos para os registros. Pessoalmente, tenho muito medo do que pode acontecer no futuro. Os registros devem confiar em todas as equipes dos registradores? Sempre teremos registradores vulneráveis, certo? ”
DNSSEC
Um dos aspectos mais interessantes desses ataques é que o Netnod e o PCH são apoiadores e seguidores de alto nível do
DNSSEC , uma tecnologia que protege especificamente contra ataques do tipo que os hackers de DNSpionage conseguiram usar.
O DNSSEC protege os aplicativos de falsificar dados DNS, exigindo uma assinatura digital para todas as consultas DNS de um determinado domínio ou conjunto de domínios. Se o servidor de nomes determinar que o registro de endereço desse domínio não foi alterado durante a transferência, ele será resolvido e permitirá que o usuário visite o site. Mas se o registro mudou de alguma forma ou não corresponde ao domínio solicitado, o servidor DNS bloqueia o acesso.
Embora o DNSSEC possa ser uma ferramenta eficaz para mitigar esses ataques, apenas cerca de 20% das principais redes e sites do mundo incluíram suporte para esse protocolo, de acordo com um
estudo da APNIC, um registrador da Internet na região da Ásia-Pacífico.
Yogbek disse que a infraestrutura Netnod foi atingida três vezes como parte da operação de DNSpionage. As duas primeiras ocorreram no intervalo de duas semanas entre 14 de dezembro de 2018 e 2 de janeiro de 2019 e eram destinadas a servidores que
não são protegidos pelo DNSSEC.
No entanto, um terceiro ataque entre 29 de dezembro e 2 de janeiro foi realizado na infraestrutura Netnod,
protegida pelo DNSSEC e servindo sua própria rede de email interna. Como os invasores já tinham acesso aos sistemas de registradores, eles conseguiram desativar essa proteção por um tempo - pelo menos esse tempo foi suficiente para obter os certificados SSL de
dois servidores de correio Netnod .
Quando os invasores receberam os certificados, eles reiniciaram o DNSSEC nos servidores de destino, provavelmente em preparação para o segundo estágio do ataque - redirecionando o tráfego de mensagens para seus servidores. Mas Yogbek diz que, por algum motivo, os atacantes não desligaram o DNSSEC novamente quando começaram a redirecionar o tráfego.
"Felizmente para nós, eles esqueceram de desligá-lo quando o ataque do MiTM começou", disse ele. "Se eles fossem mais qualificados, teriam removido o DNSSEC do domínio, o que poderiam ter feito".
Woodcock diz que a PCH verifica o DNSSEC em toda a infraestrutura, mas nem todos os clientes da empresa configuraram sistemas para implementar totalmente a tecnologia. Isso é especialmente verdadeiro para clientes nos países do Oriente Médio que são alvo do ataque de DNSpionage.
Woodcock disse que a infraestrutura PCH foi atacada pela DNSpionage quatro vezes de 13 de dezembro de 2018 a 2 de janeiro de 2019. Cada vez, os hackers usavam ferramentas para interceptar o tráfego com credenciais por cerca de uma hora e, em seguida, minimizavam e retornavam a rede ao seu estado original.
A vigilância por mais de uma hora seria redundante, porque a maioria dos smartphones modernos está configurada para verificar constantemente os e-mails. Assim, em apenas uma hora, os hackers conseguiram coletar uma quantidade muito grande de credenciais.
2 de janeiro de 2019 - no mesmo dia em que ocorreu o ataque aos servidores de email internos da Netnod - os hackers atacaram diretamente o PCH, tendo obtido certificados SSL Comodo de
dois domínios do PCH, pelos quais o correio interno da empresa também passa.
Woodcock disse que, graças ao DNSSEC, o ataque foi quase completamente neutralizado, mas os hackers conseguiram obter as credenciais de e-mail de dois funcionários que estavam de férias na época. Seus dispositivos móveis baixaram correio via Wi-Fi no hotel, portanto (de acordo com os termos do serviço WiFi) eles usaram os servidores DNS do hotel, e não os sistemas DNNSEC habilitados para PCH.
"Ambas as vítimas estavam de férias com seus iPhones na época e precisavam passar por portais comprometidos ao receber e-mails", disse Woodcock. “Quando eles acessaram, eles tiveram que desconectar nossos servidores de nomes e, durante esse período, seus clientes de correio procuraram novos e-mails. Além disso, o DNSSEC nos salvou da captura total. ”
Como a PCH protege seus domínios com DNSSEC, o efeito prático de invadir a infraestrutura de correio foi que, por cerca de uma hora, ninguém, exceto dois funcionários remotos, recebeu cartas.
"De fato, para todos os nossos usuários, o servidor de email ficou indisponível por um curto período de tempo", disse Woodcock. - As pessoas apenas olharam para o telefone, não viram novas cartas e pensaram: estranho, vou verificar mais tarde. E quando eles verificaram na próxima vez, tudo funcionou bem. Um grupo de nossos funcionários notou um desligamento de curto prazo do serviço de correio, mas isso não se tornou um problema muito sério para uma discussão iniciar ou alguém para registrar um ticket. ”
Mas os hackers de DNSpionage não pararam. Em um boletim informativo para clientes, a PCH disse que a investigação realizada invadiu um site com um banco de dados de usuários em 24 de janeiro. O banco de dados contém nomes de usuários, hashes de senha bcrypt, e-mails, endereços e nomes de empresas.
"Não vemos evidências de que os invasores tenham acessado o banco de dados", afirmou o relatório. "Portanto, estamos relatando essas informações por transparência e cautela, e não porque consideramos os dados comprometidos".
Nível avançado
Vários especialistas que entrevistamos em conexão com esta história mencionaram os problemas crônicos das organizações na proteção de seu tráfego DNS. Muitos o percebem como um dado, não mantêm registros e não monitoram alterações nos registros de domínio.
Mesmo para empresas que estão tentando monitorar sua infraestrutura de DNS em busca de alterações suspeitas, alguns serviços de monitoramento verificam os registros DNS passivamente ou apenas uma vez por dia. A Woodcock confirmou que a PCH contava com nada menos que três sistemas de monitoramento, mas nenhum deles alertou sobre o roubo horário de registros DNS que atingiam os sistemas PCH.
Woodcock disse que, desde então, a PCH implementou seu próprio sistema de monitoramento de infraestrutura DNS várias vezes por hora, o que avisa imediatamente sobre qualquer alteração.
Yogbek disse que a Netnod também estreitou o monitoramento e redobrou os esforços para implementar todas as opções de segurança de infraestrutura de domínio disponíveis. Por exemplo, antes de uma empresa não
bloquear registros para todos os seus domínios. Essa proteção fornece autenticação adicional antes de fazer alterações nos registros.
"Lamentamos muito por não oferecermos proteção máxima aos nossos clientes, mas nós mesmos nos tornamos vítimas de uma cadeia de ataques", disse Yogbek. - Após o assalto, você pode estabelecer o melhor castelo e esperar que agora fique mais difícil repetir uma coisa dessas. Eu realmente posso dizer que aprendemos muito ao nos tornar vítimas desse ataque, e agora nos sentimos muito mais confiantes do que antes. ”
Woodcock teme que os responsáveis pela implementação dos novos protocolos e outros serviços de infraestrutura não levem a sério a ameaça global de ataques de DNS. Ele está confiante de que os hackers da DNSpionage irão invadir muito mais empresas e organizações nos próximos meses e anos.
"A batalha está começando agora", disse ele. "Os iranianos não estão realizando esses ataques para um efeito a curto prazo." Eles estão tentando penetrar na infraestrutura da Internet o suficiente para realizar o que desejam a qualquer momento. Eles querem se fornecer tantas opções de manobras no futuro ".
Recomendações
John Crane é chefe de segurança, estabilidade e resiliência da ICANN, uma organização sem fins lucrativos que supervisiona o setor global de nomes de domínio. Ele diz que muitos dos métodos de prevenção e proteção que podem dificultar a invasão de domínios ou a infraestrutura de DNS são conhecidos há mais de uma década.
"Muito se resume à higiene dos dados", disse Crane.
- Nem as grandes organizações, nem as menores empresas, prestam atenção a alguns métodos de segurança muito simples, como a autenticação multifator. Hoje em dia, se você tiver proteção abaixo do ideal, você será hackeado. Essa é a realidade de hoje. Vemos na Internet oponentes muito mais sofisticados e, se você não fornecer proteção básica, eles o atingirão. ”Algumas das melhores práticas de segurança para as organizações são:- Use DNSSEC (para assinar e verificar respostas)
- Use os recursos de registro, como o Bloqueio de Registro, para ajudar a proteger a alteração de registros de nomes de domínio.
- Use listas de controle de acesso para aplicativos, tráfego da Internet e monitoramento
- , ,
- , , Certificate Transparency Logs