Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cisco Talos publie une analyse détaillée sur le piratage de DNS mettant à mal la confiance dans Internet

avril 2019 par Cisco Talos

Talos, le groupe de Threat Intelligence de Cisco, a publié une analyse détaillée du premier cas connu de cyberespionnage compromettant les DNS. Ce rapport est disponible sur le site de Talos.

Cette attaque visait les bureaux d’enregistrement de noms de domaine dans le but de recueillir des informations d’identification des clients. Une attaque très ciblée a été lancée contre les organisations nationales, créant des sites miroirs et redirigeant le trafic des utilisateurs dans le but de recueillir des informations d’identification et d’avoir accès aux biens des victimes.

Bien que cet incident se limite à cibler principalement les organisations de sécurité nationale au Moyen-Orient et en Afrique du Nord, la sophistication de cette attaque pourrait entacher la confiance dans toutes les activités sur Internet, de la manipulation des actions aux escroqueries dans le commerce électronique. Toutes les données transférées sur Internet peuvent être trafiquées.

Cisco Talos a découvert une nouvelle campagne de cybermenace surnommée "Sea Turtle", qui cible les entités publiques et privées, y compris les organisations de sécurité nationale, situées principalement au Moyen-Orient et en Afrique du Nord. L’exploitation a probablement débuté dès janvier 2017 et s’est poursuivie jusqu’au premier trimestre de 2019. L’enquête a révélé qu’une quarantaine d’organisations différentes dans 13 pays différents ont été compromises au cours de cette campagne. La Threat Intelligence a été en mesure d’évaluer que cette activité est menée par un acteur avancé, parrainé par un État, qui cherche à obtenir un accès permanent aux réseaux et systèmes sensibles.

Les acteurs à l’origine de cette campagne se sont concentrés sur l’utilisation du détournement de DNS comme mécanisme pour atteindre leur objectif final. Le piratage DNS se produit lorsque l’acteur peut modifier illicitement des enregistrements de noms DNS pour diriger les utilisateurs vers des serveurs contrôlés par l’acteur. Le Department of Homeland Security (DHS) a émis une alerte sur cette activité le 24 janvier 2019, avertissant qu’un attaquant pourrait rediriger le trafic utilisateur et obtenir des certificats de cryptage valides pour les noms de domaine d’une organisation. Dans le cadre de la campagne « Sea Turtle », Talos a pu identifier deux groupes distincts de victimes. Le premier groupe considéré comme les principales victimes, comprend les organismes de sécurité nationale, les ministères des Affaires étrangères et les principaux organismes du secteur de l’énergie. L’acteur de la menace a ciblé les entités tierces qui fournissent des services à ces entités primaires pour obtenir l’accès. Les autres victimes secondaires comprennent les DNS de nombreux officiers de l’Etat Civil, des sociétés de télécommunications et des fournisseurs de services Internet. L’un des aspects les plus notables de cette campagne a été la manière dont ils ont été en mesure d’effectuer le détournement de DNS de leurs principales victimes en ciblant d’abord ces entités tierces.

Selon Talos, ces opérations sont nettement différentes et indépendantes des opérations effectuées par DNSpionage, révélé en novembre 2018. La campagne Sea Turtle représente presque certainement une menace plus grave que DNSpionage au vu de la méthodologie de l’acteur dans le ciblage des différents DNS. Le niveau d’accès nécessaire pour s’engager avec succès dans le détournement de DNS indique un niveau élevé et continu de menace pour les organisations dans les régions ciblées. En raison de l’efficacité de cette approche, Talos encourage toutes les organisations, à l’échelle mondiale, à s’assurer qu’elles ont pris des mesures pour minimiser la possibilité que des acteurs malveillants reproduisent cette méthode d’attaque.




Voir les articles précédents

    

Voir les articles suivants