Cisco Talos waarschuwt voor een geavanceerde cyberaanval die gebruik maakt van DNS-hijacking op grote schaal. Daarbij werd voor het eerst ook een registry gecompromitteerd. De aanval is hoogstwaarschijnlijk staatsgesponsord en een primeur die volgens Talos een gevaarlijk precedent schept.
Het Domain Name System (DNS) vormt de basis van het internet. DNS is het systeem dat wordt gebruikt om domeinnamen naar IP-adressen te vertalen en omgekeerd. Het manipuleren ervan ondermijnt het vertrouwen van gebruikers in het internet en brengt de stabiliteit van het DNS-systeem in gevaar.
Sea Turtle
Dergelijke manipulatie is precies wat onderzoekers van Cisco Talos hebben vastgesteld in een nieuwe aanvalscampagne die ‘Sea Turtle’ werd gedoopt en al zeker sinds begin 2017 aan de gang is. De aanvallers maakten gebruik van DNS-hijacking om hun doelen te bereiken. Dat is een techniek waarbij DNS-gegevens onrechtmatig worden gewijzigd om gebruikers door te sturen naar servers die door de aanvallers worden beheerd.
De techniek is niet nieuw, maar de schaal waarop het gebeurd is wel ongezien. Sea Turtle is de eerste gekende campagne waarbij zelfs een registry werd gecompromitteerd om de aanval uit te voeren. Een registry of domeinnaamregister is een organisatie die de lijst van alle domeinnamen voor een bepaald topleveldomein beheerd. Zo is DNS Belgium bijvoorbeeld de registry voor .be-, .vlaanderen- en .brussels-domeinnamen.
Onrechtstreeks
De registry in kwestie, NetNod, was niet zelf het doelwit van de aanvallers, maar vormde samen met registrars, ISP’s en andere telecombedrijven de toegangspoort tot de primaire slachtoffers: een veertigtal publieke en private organisaties, waaronder buitenlandse ministeries en nationale veiligheidsdiensten, voornamelijk uit het Midden-Oosten en Noord-Afrika.
“De aanvallers richtten zich op derde partijen die diensten verlenen aan deze primaire entiteiten om toegang te krijgen”, schrijven de onderzoekers van Talos in een blogpost. “Eén van de meest opvallende aspecten van deze campagne was hoe ze in staat waren om DNS-hijacking bij hun primaire slachtoffers uit te voeren, door zich eerst te richten op deze derde partijen.”
De aanvallers braken in bij die derde partijen met behulp van exploits of spearphishing, en konden zo hun handen leggen op de DNS-gegevens van hun slachtoffers en deze aanpassen. Het uiteindelijke doel was om nietsvermoedende gebruikers naar een door de aanvallers gecontroleerde server door te sturen en inloggegevens voor gevoelige systemen buit te maken.
Potentiële gevolgen
De campagne is volgens Talos hoogstwaarschijnlijk staatsgesponsord. Hoewel het om een gelimiteerde aanval gaat, die heel gericht slachtoffers maakt in een specifieke regio, maken de onderzoekers zich zorgen over de mogelijke impact. Het succes van deze operatie zou er weleens toe kunnen leiden dat meer aanvallers zich op het wereldwijde DNS-systeem gaan richten.
“Dit is het engste wat we in een lange tijd hebben gezien”, zegt Martin Lee, technisch specialist bij Cisco Talos. “Zodra je de DNS beheert, zijn je opties vrijwel eindeloos en verliezen de slachtoffers de controle over hun aanwezigheid op het internet. Dit overschrijdt een kritieke lijn en ondermijnt het vertrouwen in het internet volledig.”
Verderdiging
De meeste traditionele beveiligingsproducten, zoals Intrusion Detection (IDS) en Intrusion Prevention (IPS), zijn niet ontworpen om DNS-verzoeken te monitoren. Bovendien werd security niet vooropgesteld bij de ontwikkeling van het DNS-systeem, waardoor evidente zaken zoals een registrar lock nog vaak ontbreken.
“Vanwege de effectiviteit van deze aanpak, moedigen we alle organisaties wereldwijd aan om ervoor te zorgen dat ze stappen ondernemen om de mogelijkheid te minimaliseren dat kwaadwillende actoren deze aanvalsmethode kunnen dupliceren”, besluiten de onderzoekers.
Gerelateerd: Spionage door natiestaten: moet jouw bedrijf wakker liggen van APT-aanvallen?