FireEye identifica onda global de sequestros de DNS

Os especialistas da FireEye, empresa de segurança cibernética, identificaram uma onda de sequestros de Domain Name System (DNS), uma espécie de malware que substitui a configuração TCP/IP de um computador para um servidor DNS malicioso.

Os redirecionamentos de DNS afetaram dezenas de domínios pertencentes a entidades governamentais, de telecomunicações, provedores de infraestrutura de Internet e instituições comerciais localizadas no Oriente Médio, na África, Europa e América do Norte.

A campanha tem como alvo vítimas em todo o mundo, em uma escala praticamente sem precedentes, com alto grau de sucesso. Os especialistas da FireEye têm acompanhado essa atividade há meses, mapeando e compreendendo as inovadoras táticas, técnicas e procedimentos (TTPs) implantadas pelos ciberatacantes.

Pesquisas iniciais sugerem campanha iraniana
Embora a atividade não tenha sido vinculada ainda a nenhum grupo monitorado e a análise de atribuição para a atividade esteja em curso, as evidências técnicas iniciais sugerem que o ator ou os atores responsáveis tenham uma ligação com o Irã. As informações confidenciais capturadas das entidades visadas seriam de interesse do governo iraniano, com baixo valor financeiro.

A campanha emprega algumas táticas tradicionais, mas diferencia-se de outras atividades típicas aplicadas pelos iranianos, pois impulsiona o sequestro de DNS em escala. O(s) ciberatacante(s) utiliza(m) diferentes técnicas para obter uma posição inicialmente e dar sequência à exploração, dependendo do alvo visado.

As manipulações de registros de DNS são sofisticadas e podem não ser exclusivas de um único agente de ameaça, uma vez que a atividade abrange prazos, infraestrutura e provedores de serviços distintos. Mesmo que um invasor não consiga obter acesso direto à rede de uma organização, ele ainda pode roubar informações valiosas.

Táticas de Prevenção
É necessário que algumas táticas sejam implementadas para que uma organização esteja fortalecida:
• Adicionar autenticação multifator no portal de administração do seu domínio;
• Validar as alterações dos registros A e NS;
• Procurar por certificados SSL relacionados ao domínio e revogar todos os certificados maliciosos;
• Validar os IPs de origem nos logs do OWA / Exchange;
• Realizar uma investigação interna para avaliar se os invasores obtiveram acesso ao ambiente.

Conclusão
O sequestro de DNS e a escala em que foi explorado demonstram a contínua evolução das táticas dos atores com base no Irã. Esta é uma visão geral de um conjunto de TTPs observada recentemente, que vem afetando inúmeras entidades. O destaque dado pela FireEye para atividades deste tipo permite que alvos em potencial possam tomar as medidas defensivas apropriadas.

Serviço
https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html