Vous êtes sur le site public du Cert-IST
DNSpionage et détournement de données DNS

Date :08 Janvier 2019

Publication: Article

Le 22/01/2019, la CISA (voir nota) a émis une « Emergency Directive » demandant à toutes les agences gouvernementales américaines (les domaines « .gov » et associés) de mettre en place, dans un délai de 10 jours, 4 mesures de surveillance pour leurs serveurs DNS :

  • Vérifier l’intégrité des données DNS gérées par ces serveurs,
  • Changer tous les mots de passe relatifs à la gestion des DNS,
  • Mettre en place une authentication multifacteur (MFA) pour tous les comptes relatifs à la gestion des DNS,
  • Surveiller les certificats numériques associés aux noms de domaines DNS en mettant en oeuvre l’initiative « Certificate Transparency ».

Nota : La CISA (Cybersecurity and Infrastructure Security Agency) est une agence gouvernementale américaine, au-dessus du NCICC (National Cybersecurity and Communications Integration Center), créée en novembre 2018 en remplacement du NPPD (National Protection and Programs Directorate). Le NCICC regroupe plusieurs organismes américains, dont les très connus US-CERT et ICS-CERT.

Cette directive fait suite à des incidents documentés récemment par de nombreuses sources (voir les références données en fin d’article) en novembre 2018 et en janvier 2019, d’abord sous le nom DNSpionage (ou Cold River), puis dans des alertes du type « DNS Hijacking Campaign ».

Ces attaques ont deux composantes :

  • le malware DNSpionage qui infecte les ordinateurs des victimes. Il s’agit d’un RAT assez classique, mais qui a la particularité de savoir encapsuler ses communications dans un trafic DNS. Le document [4] de Cisco TALOS donne un bon aperçu de ce malware.
  • Le détournement de communications réseau au moyen d’altération du DNS. C’est le document [1] de FireEye qui décrit le mieux cet aspect.

Ce second aspect est celui qui nous intéresse le plus, et qui a donné lieu à l’injonction de la CISA. Techniquement, l’attaque est simple : les enregistrements DNS pour des noms de domaines tels que « mail.victim.com », ont été modifiés de façon à rediriger les victimes consultant leur webmail professionnel vers un site web sous le contrôle des attaquants. Cette modification de DNS a été réalisée (probablement) :

  • Soit en volant les identifiants d‘un compte d’administration du serveur DNS, permettant la modification d’un enregistrement DNS de type A,
  • Soit en volant les identifiants d’un compte d’administration pour les données WhoIs, permettant la modification des enregistrements « Name Server » (NS).

Ce type de manipulations n’est pas inédit. Par exemple en 2013, le groupe de hackers SEA (Syrian Electronic Army) avait détourné, via ce moyen, des sites comme le New York Times, Twitter et le Huffington Post (voir cet article). Cependant, l’attaque DNSpionage reste significative et bien menée. Selon Crowdstrike (cf. document [3]), ces détournements DNS existeraient depuis au moins février 2017, et auraient visé 28 organisations dans 12 pays. Le plus grand nombre de ces organisations se situaient au Moyen-Orient et autour de la Méditerranée (Liban, Egypte, etc.), mais la Suède et les Etats-Unis auraient aussi été affectés. Ce dernier cas explique la réaction de la CISA.

La plupart des analyses estiment que l’Iran pourrait être à l’origine de ces attaques. La fiche attaque CERT-IST/ATK-2019.012 - Cold River décrit ces incidents et les IOC associés.

Les serveurs DNS (et les serveurs WhoIs qui les chapeautent) sont des ressources critiques. Ces alertes américaines rappellent la nécessité de les protéger. Ces bonnes pratiques sont bien sûr recommandées pour toutes les entreprises.

Pour plus d’information :

Description des attaques DNS :

[1] 02/01/2019 : FireEye - Global DNS Hijacking Campaign: DNS Record Manipulation at Scale
https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html

[2] 24/01/2019 : US-CERT – Alert AA19-024A - DNS Infrastructure Hijacking Campaign
https://www.us-cert.gov/ncas/alerts/AA19-024A

[3] 25/01/2019 : CrowdStrike - Widespread DNS Hijacking Activity Targets Multiple Sectors
https://www.crowdstrike.com/blog/widespread-dns-hijacking-activity-targets-multiple-sectors/

Description de l’infection DNSpionage :

[4] 27/11/2018 : Cisco TALOS - DNSpionage Campaign Targets Middle East
https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html

[5] 10/01/2019 : CERT-OPMD – [DNSPIONAGE] – Focus on internal actions
https://blog-cert.opmd.fr/dnspionage-focus-on-internal-actions/

[6] 11/01/2019 : LastLine - Threat Actor “Cold River”: Network Traffic Analysis and a Deep Dive on Agent Drable
https://www.lastline.com/labsblog/threat-actor-cold-river-network-traffic-analysis-and-a-deep-dive-on-agent-drable/