DNS-hijacking-kampanje
Vi i NSM NorCERT ønsker å informere om en DNS-hijacking-kampanje som har fått en del medieoppmerksomhet i det siste. Blant annet FireEye [1], Lastline [2] og Cisco Talos [3] har skrevet om denne kampanjen.
Vi har ingen indikasjoner på at norske virksomheter er berørt av denne kampanjen, men velger likevel å gå ut med dette varselet.
Dersom virksomheter kjenner til at angrep som dette har skjedd i Norge, er vi veldig interessert i å bli varslet om dette.
Kampanjen innebærer at angripere har gjort uautoriserte endringer i virksomheters domenenavn-/DNS-oppsett bl.a. ved å peke virksomhetens domener til en server angriper selv kontrollerer.
Denne endringen i DNS-oppføring kombineres med at aktøren setter opp en proxy for å videresende trafikk fra aktørens egen server til virksomhetens server. Angriper har da mulighet til å inspisere og manipulere innholdet i trafikken uten at en besøkende merker endringen.
Denne angrepsmetoden kan benyttes mot mange systemer, deriblant virksomhetens nettsider og e-posttjenere.
Med kontroll over DNS-oppsettet kan aktør anskaffe gyldige TLS-sertifikater som vil fremstå som legitime. Dette fører til at tilsynelatende kryptert trafikk kan inspiseres og manipuleres.
Selv om måten angriperen har fått tilgang til DNS-oppsettet er ukjent, kan man anta at virksomhetene har fått stjålet sine påloggingsdetaljer for administrasjon av DNS-oppsett.
I forbindelse med denne kampanjen, kommer NorCERT med en rekke anbefalte tiltak for å redusere trusselen kampanjen utgjør. Disse anbefalingene er basert på tiltak fra DHS CISA [4]:
Tiltak for å redusere trusselen
1. Kontroller DNS-oppføringer
NorCERT anbefaler at virksomhetens IT-avdeling/DNS-administrator undersøker virksomhetens offentlige DNS-oppføringer for å kontrollere at disse er korrekte og fungerer som tilsiktet.
2. Gjennomgang av passordkrav og tilganger
NorCERT anbefaler at virksomheten kartlegger hvem som har tilganger for å endre virksomhetens DNS-oppføringer, og begrenser dette til de som absolutt har behov.
Samtidig anbefaler NorCERT å sette strenge passordkrav med komplekse og unike passord for disse kontoene. Man kan for eksempel ta utgangspunkt i NSMs passordanbefalinger [5]. Et passordhåndterings-
program kan gjøre det enklere å innføre dette i praksis.
3. Legg til to-faktorautentisering på kontoer for DNS-administrasjon
NorCERT anbefaler at virksomhetens IT-avdeling/DNS-administrator tar i bruk to-faktorautentisering på kontoer som kan gjøre endringer i DNS-oppføringer. Dersom dette ikke tilbys av tjenesteleverandør bør
man vurdere å gå over til en leverandør som tilbyr dette.
4. Overvåk logger for Certificate Transparency
NorCERT anbefaler virksomheter å sette opp overvåkning av Certificate Transparency-logger for å sikre at de har kontroll på når og hvorfor det utstedes sertifikater på virksomhetens domener.
Referanser:
- https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html
- https://www.lastline.com/labsblog/threat-actor-cold-river-network-traffic-analysis-and-a-deep-dive-on-agent-drable/
- https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html
- https://cyber.dhs.gov/ed/19-01/
- https://nsm.stat.no/aktuelt/passordanbefalinger-fra-nasjonal-sikkerhetsmyndighet/