[DNSPIONAGE] – Retour factuel sur les attaques annoncées dans différents médias

[

Suite à la récente campagne médiatique concernant DNSPIONAGE, le CERT-OPMD a souhaité faire un récapitulatif sur les différentes attaques observées, les risques encourus, et les principaux moyens de mitigation. Contrairement à ce que certains médias ont écrit, les différentes attaques étaient ciblées, et limitées aux entités ciblées. En aucun cas une attaque massive mettant en péril internet ne peut-être extrapolée des analyses actuelles.

Un acteur malveillant, pour le moment non-identifié, a compromis les zones DNS de différentes sociétés/agences gouvernementales en ciblant principalement la région du Moyen-Orient. Cette attaque a pour but semble-t-il d’effectuer de l’interception d’identifiants et du contenu d’e-mails(des serveurs de mails ont été ciblés).(source : https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html )

Ci-dessous un screenshot de l’interface RiskIQ montrant les noms de domaines de type mail ciblés.

Cet acteur malveillant a aussi développé un malware appelé DNSPIONAGE par Talos (source : https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html) , que nous avons découvert nous aussi lors d’une réponse à incident commissionnée par un client.

Nous avons décrit ce que nous avions observé lors de l’analyse du malware et de la réponse à incidents, notamment en terme de propagation latérale. (source : https://blog-cert.opmd.fr/dnspionage-focus-on-internal-actions/)

Nous avons pu remarquer que l’attaquant se servait de ce malware pour récupérer des credentials (login/passwords) ainsi que pour effectuer de la propagation latérale dans le réseau, afin de relancer des techniques de récupération de credentials (principalement à base de Mimikatz, et de dump de registry).

Il s’est avéré que lors de cette investigation nous avons découvert une IP utilisée comme serveur de command and control (185.20.187.8). Cette même IP a été utilisée pour effectuer des redirections DNS aux mêmes dates (attaque de DNS hijacking citée ci-dessus). Nous pouvons donc relier le groupe et les différentes méthodes d’attaque par ce biais.

Ci-dessous un screenshot de l’interface de RiskIQ montrant les différents domaines ciblés.

Cet acteur non-identifié, que nous suivons au CERT-OPMD depuis plusieurs mois, utilise donc plusieurs techniques afin de parvenir à ses fins : l’infection ciblée par des malwares type DNSPIONAGE, puis une campagne beaucoup plus discrète et plus longue de DNS hijacking.

L’impact de ces campagnes semble être lié à de l’ « intelligence gathering ».

Nous vous conseillons donc de vous protéger contre les deux techniques :

  • Pour mitiger la technique utilisant le malware DNSPIONAGE, nous vous conseillons la mise en place d’alertes liées à la détection de mouvements latéraux, que nous avons décrits dans le précédent article
    (source : https://blog-cert.opmd.fr/dnspionage-focus-on-internal-actions/)
  • Pour mitiger les techniques utilisant le DNS hijacking, nous vous conseillons de vous fier aux articles du CERT-FR ou de l’US-CERT