Des pirates utiliseraient trois techniques pour rediriger des noms de domaine vers des serveurs compromis, affirme la société de sécurité FireEye.
Elle présente l’attaque comme massive et mondiale, touchant « des dizaines de domaines appartenant à des entités gouvernementales, de télécommunications et d’infrastructures Internet au Moyen-Orient, en Afrique du Nord, en Europe et en Amérique du Nord », sans les nommer. La campagne serait active depuis janvier 2017.
La première technique consiste à pirater le tableau d’administration du site ciblé chez son fournisseur DNS. L’attaquant change alors l’adresse du serveur vers lequel diriger l’internaute (enregistrement A), pour entrer un compromis.
Le serveur compromis agit alors comme un proxy entre l’internaute et le vrai site, collectant certaines données, par exemple des identifiants. L’utilisateur ne doit y voir que du feu, accédant un peu plus lentement au site légitime. Le faux site paraît protégé grâce à un certificat TLS gratuit récupéré chez Let’s Encrypt, renvoyant ensuite vers le vrai et son certificat officiel.
La seconde technique consiste à exploiter un bureau d’enregistrement ou domaine géographique (ccTLD), en modifiant cette fois l’enregistrement NS (serveur de nom). Alors que l’entrée « A » désigne le serveur principal, la « NS » permet de ne toucher qu’à un sous-domaine précis, comme celui d’un webmail.
La troisième technique s’ajoute à l’une des deux autres. Une redirection DNS est effectuée, pour retourner l’adresse IP compromise si le site ciblé est demandé par l’internaute, et demander une adresse à un résolveur légitime si un autre site est demandé.
Pour FireEye, il est difficile de se protéger de cette attaque. La société recommande d’activer la double authentification sur les panneaux d’administration DNS des domaines, de vérifier les entrées « A » et « NS » de sa zone DNS, de vérifier les journaux d’accès au site et d’enquêter sur des intrusions dans son propre réseau.