Recherche sur les menaces

Campagne mondiale de détournement DNS, ou l’art de la manipulation d’enregistrements DNS à grande échelle

Introduction

Les équipes FireEye Mandiant de réponse à incident et de Threat Intelligence ont identifié une série de détournements des enregistrements DNS d’organismes publics, d’opérateurs télécoms et de fournisseurs Internet en Europe, en Afrique du Nord, au Moyen-Orient et en Amérique du Nord. Ces opérations n’ont pour l’instant été attribuées à aucun groupe sous surveillance, même si nos premiers éléments d’enquête tendent à nous diriger sur la piste iranienne. Au vu du nombre de victimes dans le monde entier, on peut dire que cette campagne d’une envergure quasi inégalée a été un réel succès pour ses auteurs. Nous travaillons depuis plusieurs mois à tracer des pistes et décortiquer les nouvelles tactiques, techniques et procédures utilisées par les attaquants. Dans la mesure du possible, nous collaborons aussi étroitement avec des victimes, des acteurs de la sécurité et des services judiciaires pour réduire l’impact des attaques et prévenir toute compromission ultérieure.

Bien qu’elle s’appuie sur certaines tactiques traditionnelles, cette campagne se distingue des activités iraniennes observées jusqu’à présent par le fait qu’elle opère des détournements DNS à grande échelle. En pratique, les attaquants se servent de cette technique pour établir leur présence sur les réseaux, puis l’utilisent ensuite de diverses manières une fois qu’ils se sont implantés. Cet article revient sur trois techniques de manipulation d’enregistrements DNS ayant permis de compromettre des systèmes d’entreprises.  Déjà documentée par l’équipe TALOS de Cisco, la première d’entre elles consiste à créer un certificat Let's Encrypt et à modifier un enregistrement DNS de type A. L’activité décrite sur le blog Cisco ne représente cependant qu’une partie de celle que nous avons observée.

La piste iranienne privilégiée

Alors que les investigations se poursuivent, ces attaques ne peuvent pas encore être formellement attribuées. Malgré le niveau de sophistication et le caractère singulier des techniques décrites dans cet article, il est fort probable que ces dernières ne soient pas le produit d’un seul groupe car l’activité couvre plusieurs périodes, infrastructures et fournisseurs de services.

  • De multiples clusters en lien avec ces opérations ont été actifs entre janvier 2017 et janvier 2019
  • Les attaquants ont utilisé une grande diversité de clusters d’adresses IP et de domaines contrôlés sans aucun lien entre eux
  • Un large éventail de fournisseurs a été sélectionné pour les certificats de chiffrement et les hôtes VPS

Les premiers éléments techniques rassemblés nous permettent cependant d’y voir la main de l’Iran, et ce avec une relative certitude dans la mesure où le régime de Téhéran a tout à gagner de ces opérations.

  • La Cyber Threat Intelligence de FireEye a identifié des accès provenant d’adresses IP iraniennes vers des machines exploitées pour intercepter, enregistrer et transférer du trafic réseau. Certes, la géolocalisation d’une adresse IP ne constitue pas en soi un indicateur suffisamment solide. Néanmoins, il s’avère que ces mêmes adresses IP ont été observées lors de la réponse à une intrusion attribuée aux services de cyberespionnage iranien.
  • Les attaquants ont, entre autres, ciblé des puissances du Moyen-Orient dont les informations confidentielles, à faible valeur financière en soi, seraient particulièrement précieuses aux yeux du pouvoir iranien.

Détails

Dans les exemples suivants, victim[.]com fait référence au domaine de la victime et les adresses IP privées aux adresses IP contrôlées par les attaquants.

Technique n° 1 – Manipulation des enregistrements DNS de type A

Cette première technique consiste à modifier des enregistrements DNS de type A, tel qu’illustré dans la Figure 1.


Figure 1 : Enregistrement DNS de type A

  1. L’attaquant se connecte à PXY1, un proxy utilisé pour la navigation dite « non attribuée » et comme serveur « jump » vers une autre infrastructure.
  2. L’attaquant utilise des identifiants préalablement compromis pour accéder au panneau d’administration des DNS du fournisseur.
  3. L’enregistrement de type A (par ex. mail[.]victim[.]com) pointe pour le moment vers l’adresse 192.168.100.100.
  4. L’attaquant redirige cet enregistrement vers l’adresse 10.20.30.40 (OP1).
  5. L’attaquant se connecte à l’adresse OP1 depuis le proxy PXY1.
    • Un proxy mettant en miroir mail[.]victim[.]com est mis en place pour surveiller tous les ports ouverts.
    • Un équilibreur de charge pointe vers l’adresse 192.168.100.100 (mail[.]victim[.]com) pour faire passer le trafic utilisateur.
  6. Un client certbot est utilisé pour créer un certificat Let’s Encrypt pour l’enregistrement mail[.]victim[.]com
    • De nombreuses autorités de certification DCV (Domain Control Validation) ont été victimes de cette campagne.
  7. Un utilisateur qui se rend sur mail[.]victim[.]com est alors redirigé vers OP1. Étant donné que le certificat provient de la chaîne de confiance Let's Encrypt Authority X3, il  permet aux navigateurs d’établir une connexion sans déclencher d’erreur. La connexion est transmise vers l’équilibreur de charge, qui à son tour se connecte à la véritable adresse mail[.]victim[.]com. Hormis un léger retard, l’utilisateur ne remarque rien.
  8. L’attaquant peut alors s’emparer des identifiants d’accès au domaine de cet utilisateur.
Technique n° 2 – Manipulation des enregistrements DNS de type NS

Cette deuxième technique consiste à modifier des enregistrements DNS de type NS, tel qu’illustré dans la Figure 2.


Figure 2 : Enregistrement DNS de type NS

  1. L’attaquant se connecte au proxy PXY1.
  2. Cette fois, il utilise un registre (ou ccTLD) préalablement compromis.
  3. L’enregistrement de serveur de noms ns1[.]victim[.]com est pour le moment associé à l’adresse 192.168.100.200. L’attaquant redirige cet enregistrement vers ns1[.]baddomain[.]com (10.1.2.3)].  Lorsqu’un utilisateur tentera d’accéder à mail[.]victim[.]com, le serveur de noms répondra par l’adresse IP 10.20.30.40 (OP1), mais en utilisant l’adresse IP originale (192.168.100.100) si elle correspond à www[.]victim[.]com.
  4. L’attaquant se connecte à l’adresse OP1 depuis le proxy PXY1.
    • Un proxy mettant en miroir mail[.]victim[.]com est mis en place pour surveiller tous les ports ouverts.
    • Un équilibreur de charge pointe vers l’adresse 192.168.100.100 (mail[.]victim[.]com) pour faire passer le trafic utilisateur.
  5. Un client certbot est utilisé pour créer un certificat Let’s Encrypt pour mail[.]victim[.]com
    • De nombreuses autorités de certification DCV (Domain Control Validation) ont été victimes de cette campagne.
  6. Un utilisateur qui se rend sur mail[.]victim[.]com est alors redirigé vers OP1. Étant donné que le certificat provient de la chaîne de confiance Let's Encrypt Authority X3, il permet aux navigateurs d’établir une connexion sans déclencher d’erreur. La connexion est transmise vers l’équilibreur de charge, qui à son tour se connecte à la véritable adresse mail[.]victim[.]com. Hormis un léger retard, l’utilisateur ne remarque rien.
  7. L’attaquant peut alors s’emparer des identifiants d’accès au domaine de cet utilisateur.
Technique n° 3 – Redirection DNS

Exploitée en conjonction avec l’une des deux techniques décrites ci-dessus, cette troisième méthode fait intervenir un redirecteur DNS (voir Figure 3).


Figure 3 : Redirection DNS

Un redirecteur DNS est un outil dont se servent les cyberattaquants pour répondre à des requêtes DNS.

  1. Une requête DNS pour mail[.]victim[.]com est envoyée à OP2 (après modification d’un enregistrement de type A ou NS).
  2. Si ce domaine fait partie de la zone victim[.]com, OP2 répond à la requête par une adresse IP contrôlée par les attaquants et l’utilisateur est redirigé vers l’infrastructure malveillante.
  3. Si ce domaine ne fait pas partie de la zone victim[.]com (par ex. google[.]com), OP2 envoie une requête à un serveur DNS légitime pour obtenir l’adresse IP. L’adresse IP légitime est alors renvoyée à l’utilisateur.

Cibles

Opérateurs télécoms, fournisseurs de services et d’infrastructures Internet, pouvoirs publics, entreprises privées dans des domaines sensibles... de nombreuses structures ont été victimes de ces techniques de manipulation des DNS et de fraude aux certificats SSL.

L’enquête se poursuit

Le(s) responsable(s) de ces attaques exploite(nt) probablement différentes techniques pour s’infiltrer dans les systèmes des victimes. Il est donc difficile d’identifier un vecteur d’attaque particulier pour chaque modification d’enregistrement. Pour leur part, les clients FireEye ont reçu des rapports détaillant les attaques de phishing perpétrées par un groupe également adepte de la manipulation d’enregistrements DNS. Par ailleurs, bien que l’on ne sache par encore avec précision comment les enregistrements DNS ont été modifiés, une chose est sûre : dans plusieurs cas, le compte détenu par la victime auprès d’un bureau d’enregistrement de nom de domaine avait été compromis.

Méthodes de prévention

En utilisant ce type d’attaque, un cyberattaquant peut faire main basse sur des données sensibles sans jamais avoir accès au réseau de l’entreprise. Il est donc particulièrement difficile de s’en protéger. Voici cependant quelques mesures de renforcement de votre sécurité :

  1. Imposez une authentification multi-facteur sur le portail d’administration de votre domaine
  2. Validez les modifications d’enregistrements A et NS
  3. Faites l’inventaire des certificats SSL liés à votre domaine et révoquez tout certificat suspect
  4. Validez les adresses IP sources dans les journaux OWA/Exchange
  5. Menez une investigation interne pour vérifier l’éventuelle présence d’attaquants dans votre environnement

Conclusion

La nature et l’ampleur de cette campagne de détournement DNS prouvent la capacité des services iraniens à mettre au point de nouvelles tactiques. Cet article a dressé un aperçu de la manière dont de nombreuses structures se sont fait piéger. Nous espérons qu’il permettra à des cibles en puissance de prendre les mesures préventives nécessaires.