Entenda mais sobre recentes ataques generalizados de sequestro de DNS

Texto traduzido e adaptado de “A Deep Dive on the Recent Widespread DNS Hijacking Attacks“, originalmente escrito por Brian Krebs.

De acordo com o texto original, recentemente, o governo dos Estados Unidos, junto com várias empresas de segurança, emitiram um alerta sobre uma série de ataques altamente complexos e generalizados envolvendo cibercriminosos iranianos.

Eles são suspeitos de roubar grandes volumes de senhas de e-mail e outros dados confidenciais de vários governos e empresas privadas. Entretanto, até agora, os detalhes de como exatamente esse ataque ocorreu e quem foi atingido permaneceram envoltos em sigilo.

Este post procura documentar a extensão desses ataques e rastreia as origens dessa campanha de espionagem cibernética de enorme sucesso de volta a uma série de violações em cascata nos principais provedores de infraestrutura de Internet.

O que é DNS?

Antes de explicarmos mais sobre esses ataques, é primordial entendermos o conceito de DNS e a sua função. Conhecido pela sigla DNS, o Domain Name System, ou em português, Sistema de Nomes de Domínios, tem como objetivo traduzir os endereços que digitamos no navegador (por exemplo: clavis.com.br) para o endereço real dos websites, o qual é, na verdade, um endereço IP (Internet Protocol).

Vale a pena destacar que cada computador e/ou servidor conectado à uma rede, possui seu próprio endereço IP, e existem diversos servidores DNS em operação na internet. Existem aqueles mantidos por empresas e/ou provedores de acesso, por exemplo, e existem também servidores DNS públicos, passíveis de utilização pelo grande público.

O motivo dos ataques

No último 27 de novembro, o departamento de Threat Intel da Talos, divisão de Cisco, publicou um artigo descrevendo as técnicas de uma sofisticada campanha de espionagem cibernética apelidada de “ DNSpionage ”.

De acordo com a Talos, os cibercriminosos da DNSpionage conseguiram roubar e-mails e outras credenciais de login de várias entidades do governo e do setor privado no Líbano e nos Emirados Árabes Unidos, seqüestrando os servidores DNS desses alvos, para que o tráfego fosse redirecionado  para um endereço de Internet controlado pelos invasores.

Em adição, a divisão da Cisco informou que esses sequestros de DNS também abriram caminho para que os invasores obtivessem certificados de criptografia SSL para os domínios alvo (por exemplo, webmail.finance.gov.lb), o que lhes permitia descriptografar as credenciais de e-mail e VPN interceptadas e visualizá-las em texto simples .

No início de 2019, 9 de janeiro, outra empresa de segurança a FireEye, divulgou seu relatório “Campanha Global de Invasão do DNS: Manipulação de Registros DNS em Escala”, que incluiu detalhes técnicos sobre a campanha de espionagem, mas poucos detalhes adicionais sobre suas vítimas.

Simultaneamente, o Departamento de Segurança Interna dos EUA (DHS) emitiu um alerta de emergência ordenando que todas as agências civis federais dos EUA garantissem as credenciais de login para seus registros de domínio da Internet. Como parte desse alerta, o DHS publicou uma pequena lista de nomes de domínio e endereços de Internet que foram usados ​​na campanha DNSpionage, embora esses detalhes não tenham ido além do que foi lançado anteriormente pelo Cisco Talos ou pelo FireEye.

Entretanto, em 25 de janeiro de 2019, o cenário mudou, quando a empresa de segurança CrowdStrike publicou um post no blog listando praticamente todos os endereços da Internet conhecidos por serem usados pela campanha de espionagem até hoje.

Por exemplo, os dados passivos do DNS mostram que os invasores conseguiram sequestrar os registros DNS de mail.gov.ae , que manipula e-mails para escritórios do governo dos Emirados Árabes Unidos. Aqui estão apenas alguns outros ativos interessantes comprometidos com êxito nesta campanha de espionagem cibernética:

  • nsa.gov.iq: o Conselho Nacional de Segurança do Iraque;
  • webmail.mofa.gov.ae: e  mail para o Ministério dos Negócios Estrangeiros dos Emirados Árabes Unidos ;
  • shish.gov.al: Serviço de Inteligência do Estado da Albânia;
  • mail.mfa .gov.eg: servidor de correio para o Ministério de Assuntos Exteriores do Egito;
    mod.gov.eg: Ministério da Defesa do Egito;
  • embassy.ly: Embaixada da Líbia;
  • owa.e-albania.al: o portal do Outlook Web Access para o e- portal de governo da Albânia;
  • mail.dgca.gov.kw: servidor de e  mail para o Escritório de Aviação Civil do Kuwait;
  • gid.gov.jo: Diretório Geral de Inteligência da Jordânia;
  • adpvpn.adpolice.gov.ae: Serviço de VPN para a Polícia de Abu Dhabi;
  • mail.asp.gov.al: email para a Polícia do Estado da Albânia;
  • owa.gov.cy: Microsoft Outlook Web Access para o Governo do Chipre;
  • webmail.finance.gov.lb: email para o Líbano Ministério das Finanças;
  • mail.petroleum.gov .eg: Ministério do Petróleo egípcio;
  • mail.cyta.com.cy: telecomunicações Cyta e provedor de Internet, Cyprus;
  • mail.mea.com.lb: acesso a email para a Middle East Airlines.

Para mais detalhes técnicos e informação, clique aqui.