Wat is de wereldwijde DNS-kapingdreiging?Experts van grote cyberbeveiligingsbedrijven zoals Tripwire, FireEye en Mandiant hebben melding gemaakt van een alarmerend grote golf van DNS-kapingaanvallen die wereldwijd plaatsvinden. Deze aanvallen zijn gericht op overheid, telecom en Internet entiteiten in het Midden-Oosten, Europa, Noord-Afrika en Noord-Amerika.
onderzoekers hebben niet publiekelijk de beoogde sites geïdentificeerd, maar hebben erkend dat het aantal domeinen dat in gevaar is gebracht in de tientallen is. Deze aanvallen, die zijn gebeurd sinds ten minste 2017, worden gebruikt in combinatie met eerder gestolen referenties om gebruikers te leiden naar nep-websites ontworpen om inloggegevens en andere gevoelige informatie te stelen.
hoewel niemand de eer heeft opgeëist voor deze aanslagen, denken veel deskundigen dat de aanslagen uit Iran komen. Verschillende IP-adressen van de aanvallers zijn herleid tot Iran. Hoewel het mogelijk is dat de aanvallers Iraanse IP ‘ s vervalsen om op het spoor te komen, lijken de doelwitten van de aanval ook naar Iran te wijzen. Doelwitten zijn overheidssites van verschillende landen in het Midden-Oosten, sites met gegevens die geen financiële waarde hebben, maar zeer waardevol zouden zijn voor de regering van Iran.
Hoe werken deze DNS-kapingaanvallen?
er worden een aantal verschillende aanvalsstrategieën uitgevoerd, maar de stroom van de aanvallen is als volgt:
- de aanvaller maakt een dummy site die eruit ziet en voelt net als de site die ze targeting.
- de aanvaller gebruikt een gerichte aanval (zoals spear phishing) om inloggegevens te verkrijgen voor het Admin panel van de DNS* provider voor de doelsite.
- de aanvaller gaat vervolgens naar het DNS-adminpaneel en wijzigt de DNS-records voor de site waarop ze zich richten (dit staat bekend als DNS-kaping), zodat gebruikers die toegang tot de site proberen te krijgen in plaats daarvan naar de dummy-site worden gestuurd.
- de aanvaller vervalst een TLS-versleutelingscertificaat dat de browser van een gebruiker ervan zal overtuigen dat de dummy-site legitiem is.
- nietsvermoedende gebruikers gaan naar de URL van de gecompromitteerde site en worden doorgestuurd naar de dummy site.
- de gebruikers proberen dan in te loggen op de dummy site, en hun inloggegevens worden verzameld door de aanvaller.
* het Domain Name System (DNS) is als het telefoonboek van het Internet. Wanneer een gebruiker een URL typt, zoals ‘google.com’ in hun browser, de records in DNS-servers die de gebruiker naar Google ‘ s origin server. Als er met die DNS-records wordt geknoeid, kunnen gebruikers ergens terechtkomen waar ze niet verwacht hadden.
Hoe kunnen DNS-kapingaanvallen worden voorkomen?
individuele gebruikers kunnen niet veel doen om zichzelf te beschermen tegen het verliezen van referenties in dit soort aanvallen. Als de aanvaller grondig genoeg is bij het maken van hun dummy site, kan het erg moeilijk zijn voor zelfs zeer technische gebruikers om het verschil te zien.
een manier om deze aanvallen te beperken zou zijn dat DNS-providers hun authenticatie opvoeren door maatregelen te nemen zoals het vereisen van 2-factor authenticatie, wat het voor aanvallers dramatisch moeilijker zou maken om toegang te krijgen tot DNS-beheerpanelen. Browsers kunnen ook hun beveiligingsregels bijwerken, bijvoorbeeld door de bron van TLS-certificaten te controleren om er zeker van te zijn dat ze afkomstig zijn van een bron die overeenkomt met het domein waarop ze worden gebruikt.