Vi i NSM NorCERT ønsker å informere om en DNS-hijacking-kampanje som har fått en del medieoppmerksomhet i det siste. Blant annet FireEye [1], Lastline [2] og Cisco Talos [3] har skrevet om denne kampanjen.

Vi har ingen indikasjoner på at norske virksomheter er berørt av denne kampanjen, men velger likevel å gå ut med dette varselet.

Dersom virksomheter kjenner til at angrep som dette har skjedd i Norge, er vi veldig interessert i å bli varslet om dette.

Kampanjen innebærer at angripere har gjort uautoriserte endringer i virksomheters domenenavn-/DNS-oppsett bl.a. ved å peke virksomhetens domener til en server angriper selv kontrollerer.

Denne endringen i DNS-oppføring kombineres med at aktøren setter opp en proxy for å videresende trafikk fra aktørens egen server til virksomhetens server. Angriper har da mulighet til å inspisere og manipulere innholdet i trafikken uten at en besøkende merker endringen.

Denne angrepsmetoden kan benyttes mot mange systemer, deriblant virksomhetens nettsider og e-posttjenere.

Med kontroll over DNS-oppsettet kan aktør anskaffe gyldige TLS-sertifikater som vil fremstå som legitime. Dette fører til at tilsynelatende kryptert trafikk kan inspiseres og manipuleres.

Selv om måten angriperen har fått tilgang til DNS-oppsettet er ukjent, kan man anta at virksomhetene har fått stjålet sine påloggingsdetaljer for administrasjon av DNS-oppsett.

I forbindelse med denne kampanjen, kommer NorCERT med en rekke anbefalte tiltak for å redusere trusselen kampanjen utgjør. Disse anbefalingene er basert på tiltak fra DHS CISA [4]:

Tiltak for å redusere trusselen 

1. Kontroller DNS-oppføringer

NorCERT anbefaler at virksomhetens IT-avdeling/DNS-administrator undersøker virksomhetens offentlige DNS-oppføringer for å kontrollere at disse er korrekte og fungerer som tilsiktet.

2. Gjennomgang av passordkrav og tilganger

NorCERT anbefaler at virksomheten kartlegger hvem som har tilganger for å endre virksomhetens DNS-oppføringer, og begrenser dette til de som absolutt har behov.

Samtidig anbefaler NorCERT å sette strenge passordkrav med komplekse og unike passord for disse kontoene. Man kan for eksempel ta utgangspunkt i NSMs passordanbefalinger [5]. Et passordhåndterings-
program kan gjøre det enklere å innføre dette i praksis.

3. Legg til to-faktorautentisering på kontoer for DNS-administrasjon

NorCERT anbefaler at virksomhetens IT-avdeling/DNS-administrator tar i bruk to-faktorautentisering på kontoer som kan gjøre endringer i DNS-oppføringer. Dersom dette ikke tilbys av tjenesteleverandør bør
man vurdere å gå over til en leverandør som tilbyr dette.

4. Overvåk logger for Certificate Transparency

NorCERT anbefaler virksomheter å sette opp overvåkning av Certificate Transparency-logger for å sikre at de har kontroll på når og hvorfor det utstedes sertifikater på virksomhetens domener.

Referanser:

  1. https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html
  2. https://www.lastline.com/labsblog/threat-actor-cold-river-network-traffic-analysis-and-a-deep-dive-on-agent-drable/
  3. https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html
  4. https://cyber.dhs.gov/ed/19-01/
  5. https://nsm.stat.no/aktuelt/passordanbefalinger-fra-nasjonal-sikkerhetsmyndighet/