La vague de piratage DNS repérée par FireEye affecterait plusieurs administrations américaines. L’agence fédérale en charge de la sécurité des systèmes d’information est en alerte et une « directive d’urgence » du DHS requiert des services informatiques gouvernementaux qu’ils mettent en œuvre dans les plus brefs délais toute une série de mesures afin de protéger les domaines .gov.
Plus tôt en janvier, la société FireEye rapportait avoir détecté une « vague de piratage DNS » qui affectait « des dizaines de domaines appartenant à des entités gouvernementales, de télécommunications et d’infrastructure Internet au Moyen-Orient et en Afrique du Nord, en Europe et en Amérique du Nord ». Et si les experts en sécurité n'associent cette activité criminelle à aucun groupe connu, ils attribuent néanmoins ces attaques à un acteur en lien avec l’Iran.
Il n’en fallait pas plus pour que les Etats-Unis se mettent en branle-bas de combat. Le Department of Homeland Security (DHS) a d’abord publié une alerte par le biais de l’US-CERT, avant de diffuser cette semaine une « directive d’urgence ». On y apprend que la CISA (Cybersecurity and Infrastructure Security Agency, l’équivalent de notre ANSSI) a détecté que diverses agences fédérales civiles ont été affectées par ces détournements de DNS.
Plusieurs .gov compromis
Le DHS livre quelques détails supplémentaires quant à cette campagne, qui vise les comptes des administrateurs de registrar des noms de domaine (par le biais de phishing sophistiqué, à en croire FireEye) afin de modifier les enregistrements DNS et rediriger le trafic Web et le trafic de messagerie vers les serveurs des attaquants, avant de le renvoyer vers le service légitime. Cette attaque servirait donc des fins d’espionnage.
La CISA recommande à l’ensemble des administrations d’auditer les enregistrements DNS de tous les domaines .gov dont elles ont la charge, à commencer par les services les plus critiques, ainsi que de modifier les mots de passe des comptes admin et d’y ajouter un second facteur d’authentification. L’agence, pour sa part, assurera la livraison régulière des nouveaux certificats de transparence (CT) et enjoint les services informatiques de l’administration à maintenir une veille constante des nouveaux certificats TLS émis pour les domaines gouvernementaux… ce qui laisse entendre que l’attaquant ayant piraté les noms de domaine gouvernementaux les utilisent désormais pour demander des certificats TLS.