Depuis plusieurs jours des vagues d’attaques s’en prennent à l’infrastructure DNS alerte l’organisation en charge de la gestion des adresses Internet. Celle-ci préconise différentes mesures pour limiter les risques.
Plusieurs cabinets de recherche en sécurité et des éditeurs de solutions ont analysé la vague d’attaques, toujours en cours semble-t-il, sur l’infrastructure DNS à un niveau élevé. Cette infrastructure traduit le nom de domaine d’un site Web en une adresse IP. Les attaques visent à changer les adresses des sites pour les renvoyer vers un site contrôlé par les attaquants. La plupart des victimes recensées sont au Moyen-Orient et en Albanie ! D’où peut-être l’attribution un peu hâtive à un groupe de hackers iraniens.
Selon l’ICANN l’attaque est inédite et de grande échelle. L’attaque permet aux pirates de fouiller dans les données (mots de passe, adresses mail, VPN) sur le chemin voire de capter complètement le trafic vers leurs serveurs. Le but de l’attaque serait de voler des mots de passe à des fins d’espionnage. Les serveurs de contrôle sont pour la plupart situés en Europe dont certains chez un hébergeur allemand (key-systems Gmbh) et un revendeur en Suède du fournisseur allemand. Key-Systems pense que son interface EPP (Extensible Provisioning Protocol) a été attaquée pour voler de véritables identifiants de connexion.
Parmi les victimes : Netnod en Suède
Un des moyens mis en œuvre pour cette série d’attaques a été d’entrer dans le registre des noms de domaines de différents fournisseurs de noms de domaine comme Netnod en Suède qui utilisent pourtant DNSSEC, qui protège ce service contre des données fausses ou changées par une signature numérique pour chaque transaction.
Après avoir eu accès au registre de Netnod, l’attaquant a pu se délivrer un certificat valide qui lui a permis de réaliser la dernière partie de l’attaque en désactivant la sécurité DNSSEC pour avoir la main sur les échanges de mail. Ils ont de plus récupéré des certificats valides chez Comodo et PCH deux autres registrars avec certainement accès à leurs serveurs de mails et donc aux identifiants des clients. PCH indique poursuivre actuellement une enquête sur l’attaque.
Pour éviter ces désagréments l’ICANN rappelle quelques mesures d’hygiène de sécurité :
-mettre en place les signatures de zones et les validations de réponses dans DNSSEC,
-utiliser Registry Lock pour éviter les changements,
-utiliser des listes de contrôle d’accès pour le trafic Internet, les applications et la supervision,
-mettre en place une authentification à 2 facteurs pour tous les utilisateurs ou sous-contractant ayant ce type d’accès,
-s’intéresser à un logiciel de gestion des mots de passe et revoir les comptes chez les registrars ou autres fournisseurs et suivre les certificats avec une solution dédiée.
Ce genre d’attaque ouvre une nouvelle voie sophistiquée pour les attaquants du fait qu’elle semble plus efficace que le piratage direct d’un serveur de messagerie ou une attaque par « spear phishing » comme l’indique le blog de Brian Krebs dont cet article s’inspire.