Os especialistas da FireEye, empresa de segurança cibernética, identificaram uma onda de sequestros de Domain Name System (DNS), uma espécie de malware que substitui a configuração TCP/IP de um computador para um servidor DNS malicioso.
Os redirecionamentos de DNS afetaram dezenas de domínios pertencentes a entidades governamentais, de telecomunicações, provedores de infraestrutura de Internet e instituições comerciais localizadas no Oriente Médio, na África, Europa e América do Norte.
A campanha tem como alvo vítimas em todo o mundo, em uma escala praticamente sem precedentes, com alto grau de sucesso. Os especialistas da FireEye têm acompanhado essa atividade há meses, mapeando e compreendendo as inovadoras táticas, técnicas e procedimentos (TTPs) implantadas pelos ciberatacantes.
Pesquisas iniciais sugerem campanha iraniana
Embora a atividade não tenha sido vinculada ainda a nenhum grupo monitorado e a análise de atribuição para a atividade esteja em curso, as evidências técnicas iniciais sugerem que o ator ou os atores responsáveis tenham uma ligação com o Irã. As informações confidenciais capturadas das entidades visadas seriam de interesse do governo iraniano, com baixo valor financeiro.
A campanha emprega algumas táticas tradicionais, mas diferencia-se de outras atividades típicas aplicadas pelos iranianos, pois impulsiona o sequestro de DNS em escala. O(s) ciberatacante(s) utiliza(m) diferentes técnicas para obter uma posição inicialmente e dar sequência à exploração, dependendo do alvo visado.
As manipulações de registros de DNS são sofisticadas e podem não ser exclusivas de um único agente de ameaça, uma vez que a atividade abrange prazos, infraestrutura e provedores de serviços distintos. Mesmo que um invasor não consiga obter acesso direto à rede de uma organização, ele ainda pode roubar informações valiosas.
Táticas de Prevenção
É necessário que algumas táticas sejam implementadas para que uma organização esteja fortalecida:
• Adicionar autenticação multifator no portal de administração do seu domínio;
• Validar as alterações dos registros A e NS;
• Procurar por certificados SSL relacionados ao domínio e revogar todos os certificados maliciosos;
• Validar os IPs de origem nos logs do OWA / Exchange;
• Realizar uma investigação interna para avaliar se os invasores obtiveram acesso ao ambiente.
Conclusão
O sequestro de DNS e a escala em que foi explorado demonstram a contínua evolução das táticas dos atores com base no Irã. Esta é uma visão geral de um conjunto de TTPs observada recentemente, que vem afetando inúmeras entidades. O destaque dado pela FireEye para atividades deste tipo permite que alvos em potencial possam tomar as medidas defensivas apropriadas.
Serviço
https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html
Leia nesta edição:
MATÉRIA DE CAPA | TIC APLICADA
Campo digitalizado: sustentabilidade e eficiência
TELECOMUNICAÇÕES
Infra para Conectividade: competição quente
NEGÓCIOS
Unidos para inovar
Esta você só vai ler na versão digital
APLICAÇÃO
A boa gestão de mídias sociais fortalece a marca
Baixe o nosso aplicativo