L’organisme international qui attribue les adresses internet (ICANN) avertit que des efforts pour compromettre le système des noms de domaine (« Domain Name System », DNS) sont en cours, ce qui pourrait entraîner des redirections à grande échelle du trafic mondial de données.
Tribune FireEye & VadeRetro – En janvier cette année, les fournisseurs de sécurité Mandiant FireEye et Cisco Talos avaient déjà signalé qu’une attaque de grande envergure dans le monde entier avait compromis des données DNS pour les domaines de la télécommunication, des gouvernements et les organismes d’infrastructure d’internet.
Les équipes de renseignements et les cellules de crise de Mandiant FireEye ont identifié une vague de détournements DNS qui a affecté des dizaines de domaines appartenant au gouvernement, à la télécommunication et les entités d’infrastructures d’internet à travers le Moyen-Orient et le nord de l’Afrique, l’Europe et l’Amérique du Nord. Bien que nous n’ayons relié cette activité à aucun groupe surveillé pour le moment, des premières recherches suggèrent que le ou les acteurs responsables ont un lien avec l’Iran.
Cette campagne a ciblé des victimes tout autour du globe d’une ampleur inégalée, avec un fort taux de réussite. Nous avons surveillé cette activité depuis plusieurs mois, en schématisant et comprenant les tactiques, techniques et procédures innovantes (les TTP) déployées par l’attaquant. Nous avons aussi travaillé de près avec les victimes, les organisations de sécurité et les autorités policières là où il était possible de réduire l’impact des attaques et/ou d’empêcher d’autres corruptions.
Même si cette campagne emploie des tactiques traditionnelles, elle est différenciée d’autres activités iraniennes précédemment vues car elle exploite les détournements DNS à grande échelle. L’attaquant utilise cette technique comme point d’ancrage initial, qui peut par la suite être exploité d’une multitude de manières. Nous allons détailler, par la suite, les trois différentes manières de manipulation d’enregistrements DNS que nous avons observé pour permettre la corruption des victimes.
La première technique impliquant la création d’un certificat Let’s Encrypt et le changement du A record, ce qui a été documenté précédemment par l’équipe Cisco Talos. L’activité décrite ici est une sous-catégorie de l’activité que nous avons observée.
L’ICANN, cible d’une attaque massive – Commentaire de Sébastien Gest, Vade Secure :
L’ICANN a annoncé être la cible d’une attaque massive visant l’infrastructure de serveurs permettant de gérer les noms de domaine, en un mot la fondation d’Internet.
Qu’est-ce que l’ICANN ?
Pour imager, l’ICANN a pour fonction de coordonner “un annuaire” permettant d’associer à différents niveaux un nom de domaine et une IP. C’est cette coordination qui permet instantanément de joindre google.com depuis votre navigateur.
Quel est l’intérêt de cette attaque ?
L’usurpation : en modifiant les informations de cet annuaire, les hackers redirigent les flux d’Internet vers leur infrastructure puis vers celle de votre entreprise. Il est donc possible pour eux de lire vos échanges (formulaire), email professionnel.
Coupure de service : il est également possible à tout moment de rompre le flux Internet en bloquant la résolution du nom de domaine ciblé et ainsi paralyser une grande partie d’Internet.
Qu’est-il possible de faire ?
Pour contrer ce type d’attaque, le protocole DNSSEC permet de signer les différentes couches de l’infrastructure gérant les noms de domaine. Le fait d’assigner des clés permet de valider que l’ensemble des serveurs discutant entre eux sont bien légitimes.