CommuniquésTechno.

Campagne Mondiale d’Attaque DNS

Manipulation d’Enregistrements DNS à Grande Échelle, un commentaire de FireEye

L’organisme international qui attribue les adresses internet (ICANN) avertit que des efforts pour compromettre le système des noms de domaine (« Domain Name System », DNS) sont en cours, ce qui pourrait entraîner des redirections à grande échelle du trafic mondial de données.

En janvier cette année, les fournisseurs de sécurité Mandiant FireEye et Cisco Talos avaient déjà signalé qu’une attaque de grande envergure dans le monde entier avait compromis des données DNS pour les domaines de la télécommunication, des gouvernements et les organismes d’infrastructure d’internet.

Les équipes de renseignements et les cellules de crise de Mandiant FireEye ont identifié une vague de détournements DNS qui a affecté des dizaines de domaines appartenant au gouvernement, à la télécommunication et les entités d’infrastructures d’internet à travers le Moyen-Orient et le nord de l’Afrique, l’Europe et l’Amérique du Nord. Bien que nous n’ayons relié cette activité à aucun groupe surveillé pour le moment, des premières recherches suggèrent que le ou les acteurs responsables ont un lien avec l’Iran. Cette campagne a ciblé des victimes tout autour du globe d’une ampleur inégalée, avec un fort taux de réussite. Nous avons surveillé cette activité depuis plusieurs mois, en schématisant et comprenant les tactiques, techniques et procédures innovantes (les TTP) déployées par l’attaquant. Nous avons aussi travaillé de près avec les victimes, les organisations de sécurité et les autorités policières là où il était possible de réduire l’impact des attaques et/ou d’empêcher d’autres corruptions.

Même si cette campagne emploie des tactiques traditionnelles, elle est différenciée d’autres activités iraniennes précédemment vues car elle exploite les détournements DNS à grande échelle. L’attaquant utilise cette technique comme point d’ancrage initial, qui peut par la suite être exploité d’une multitude de manières. Nous allons détailler, par la suite, les trois différentes manières de manipulation d’enregistrements DNS que nous avons observé pour permettre la corruption des victimes. La première technique impliquant la création d’un certificat Let’s Encrypt et le changement du A record, ce qui a été documenté précédemment par l’équipe Cisco Talos. L’activité décrite ici est une sous-catégorie de l’activité que nous avons observée.

A propos de FireEye : FireEye est le spécialiste de la sécurité réseau basée sur l’intelligence. Fonctionnant comme une extension transparente et extensible des opérations de sécurité réseau du client, FireEye offre une plate-forme unique qui associe des technologies de sécurité innovantes, des capacités d’intelligence sur les menaces de niveau gouvernemental, et les services de consulting Mandiant de renommée mondiale. Grâce à cette approche, FireEye élimine la complexité et les efforts liés à la cyber sécurité pour des organisations ayant du mal à anticiper, prévenir et répondre à des cybers attaques. FireEye compte plus de 6800 clients dans 67 pays, y compris plus de 45% des entreprises figurant dans le classement Forbes Global 2000.

Olivier Kauf

Consultant depuis plus de 30 ans, Je suis depuis une dizaine d'années journaliste, professionnel dans le domaine des risques et des assurances pour le e-mag RiskAssur-hebdo (https://www.riskassur-hebdo.com) et témoin de mon époque pour https://notre-siecle.com et https://perelafouine.com RiskAssur, Notre-Siècle et PèreLaFouine proposent chaque jour de nouveaux articles issus de la rédaction : la vie des sociétés (nominations, acquisitions, accords, …), des tests/présentations de produits, des ouvrages (professionnels, romans, bd, …), … Je peux : - présenter vos produits ou nouveaux ouvrages (il suffit de me les envoyer) - écrire sur des sujets à la demande pour du référencement SEO - publier vos communiqués de presse - Publier vos AAPC - … Une question, une remarque : olivier@franol.fr

Laisser un commentaire

Articles similaires

Bouton retour en haut de la page