Qual è la minaccia di dirottamento DNS globale?
Esperti delle principali aziende di sicurezza informatica, tra cui Tripwire, FireEye e Mandiant, hanno riferito di un’ondata allarmante di attacchi di dirottamento DNS in tutto il mondo. Questi attacchi prendono di mira enti governativi, telecom e Internet in Medio Oriente, Europa, Nord Africa e Nord America.
I ricercatori non hanno identificato pubblicamente i siti presi di mira, ma hanno riconosciuto che il numero di domini che sono stati compromessi è nelle dozzine. Questi attacchi, che stanno accadendo almeno dal 2017, vengono utilizzati in combinazione con le credenziali rubate in precedenza per indirizzare gli utenti a siti Web falsi progettati per rubare le credenziali di accesso e altre informazioni sensibili.
Sebbene nessuno si sia preso il merito di questi attacchi, molti esperti ritengono che gli attacchi provengano dall’Iran. Molti degli indirizzi IP degli aggressori sono stati rintracciati in Iran. Mentre è possibile che gli aggressori stiano spoofando gli IP iraniani per eliminare il profumo, gli obiettivi dell’attacco sembrano anche puntare all’Iran. Gli obiettivi includono siti governativi di diverse nazioni del Medio Oriente, siti contenenti dati che non hanno alcun valore finanziario ma sarebbero molto preziosi per il governo iraniano.
Come funzionano questi attacchi di dirottamento DNS?
Ci sono alcune diverse strategie di attacco in corso, ma il flusso degli attacchi è il seguente:
- L’attaccante crea un sito fittizio che sembra e si sente proprio come il sito che stanno prendendo di mira.
- L’attaccante utilizza un attacco mirato (come spear phishing) per ottenere le credenziali di accesso al pannello di amministrazione del provider DNS* per il sito di destinazione.
- L’attaccante entra quindi nel pannello di amministrazione DNS e cambia i record DNS per il sito che stanno prendendo di mira (questo è noto come dirottamento DNS), in modo che gli utenti che tentano di accedere al sito vengano invece inviati al sito fittizio.
- L’attaccante forgia un certificato di crittografia TLS che convincerà il browser di un utente che il sito fittizio è legittimo.
- Gli utenti ignari vanno all’URL del sito compromesso e vengono reindirizzati al sito fittizio.
- Gli utenti tentano quindi di accedere al sito fittizio e le loro credenziali di accesso vengono raccolte dall’utente malintenzionato.
*Il Domain Name System (DNS) è come la rubrica di Internet. Quando un utente digita un URL, come ‘google.com’ nel loro browser, i suoi record nei server DNS che indirizzano l’utente al server di origine di Google. Se questi record DNS vengono manomessi, gli utenti possono finire da qualche parte che non si aspettavano.
Come prevenire gli attacchi di dirottamento DNS?
I singoli utenti non possono fare molto per proteggersi dalla perdita di credenziali in questi tipi di attacchi. Se l’utente malintenzionato è abbastanza completo quando crea il proprio sito fittizio, può essere molto difficile per gli utenti anche altamente tecnici individuare la differenza.
Un modo per mitigare questi attacchi sarebbe per i provider DNS di rafforzare la loro autenticazione, prendendo misure come richiedere l’autenticazione a 2 fattori, che renderebbe drammaticamente più difficile per gli aggressori accedere ai pannelli di amministrazione DNS. I browser potrebbero anche aggiornare le loro regole di sicurezza, ad esempio esaminando l’origine dei certificati TLS per assicurarsi che provengano da un’origine conforme al dominio su cui vengono utilizzati.