V posledních měsících byly v oblastech EMEA a Severní Ameriky napadeny stovky systémů DNS příslušející vládním subjektům a poskytovatelům telekomunikačních a internetových služeb. Tento útok dává útočníkům možnost zachycovat, přesměrovávat, dešifrovat a případně modifikovat veškerý provoz internetových služeb. Útočníci se však nejvíce zaměřují na data webového a emailového provozu.
Útok probíhá formou modifikace záznamů na napadeném DNS serveru. Pro přístup k administraci DNS serveru útočníci využívají dříve kompromitované přihlašovací údaje. Prvotní kompromitace přihlašovacích údajů se v mnoha případech liší. Evidují se sofistikované phishingové kampaně či další manipulační techniky.
Dalším krokem útočníků je úprava DNS záznamů (nejčastěji A, MX, NS), pomocí kterých přesměrují provoz do své infrastruktury, kde ho mohou libovolně monitorovat či pozměňovat a dále provoz nasměrují zpět na legitimní službu. Koncový uživatel není schopen poznat, že je s provozem po cestě nějak manipulováno.
Útočníci u svých služeb, kam přesměrovávají provoz z legitimních domén, využívají certifikáty od certifikační autority Let’s Encrypt, která je v prohlížečích brána jako důvěryhodná a uživateli tak není zobrazeno žádné chybové hlášení. Díky tomu jsou útočníci schopni přesměrovaný provoz dešifrovat a vystavit koncové uživatele riziku.
Doporučení:
- Změna hesla na všech účtech s přístupem ke správě DNS a zvážení zavedení vícefaktorové autentizace.
- Kontrola DNS záznamů, zda nastavení odpovídá zamýšlenému cílovému stavu.
- Dohledání vydaných SSL certifikátů ke spravované doméně a zrušení/nahlášení všech škodlivých certifikátů.
Více informací:
https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html
https://cyber.dhs.gov/ed/19-01/