DNSpionage: Comment en France et pas que on raconte n’import quoi

Sebdraven
Sebdraven
Feb 25 · 3 min read

Au départ, je pensais que c’était une attaque comme les autres décrites par mes amis @rootbsd et @SecurityBeard https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html ainsi que @Azobec dans https://blog-cert.opmd.fr/dnspionage-focus-on-internal-actions/

Puis FireEye et CrowdStrike y ont été de leurs proses: https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html et https://www.crowdstrike.com/blog/widespread-dns-hijacking-activity-targets-multiple-sectors/

Pour la faire simple pour les personnes qui ne comprennent pas les subtilités artistiques des attaquants. Ils ont compromis les zones DNS de une part des agences de renseignement des pays du Moyen Orient et des sociétés de l’énergie pour rediriger les victimes sur les serveurs des attaquants et faire de l’interception d’identifiants notamment sur les serveurs de mails (ici Exchange) qui sont utilisés aussi en interne pour se connecter à des ressources. Rien de fou de fou dans l’histoire, a part des attaquants bien formés et une attaque correctement coordonnée.

L’histoire aurait pu ( même du) s’arrêter là mais l’ICANN a décidé d’y mettre son grain de sel, le 22 février 2019… https://www.icann.org/news/announcement-2019-02-22-en

Alors outre le fait que la recommandation de l’ICAN technique est inutile, l’AFP s’est jeté sur le sujet sans rien comprendre à ce qu’elle reprenait en expliquant que c’était la fin de l’internet mondial. https://www.francetvinfo.fr/internet/securite-sur-internet/internet-un-organisme-previent-dune-attaque-a-tres-grande-echelle_3203823.html

Ce qui est techniquement archifaux.

On découvre ainsi l’interception SSL . https://www.ouest-france.fr/high-tech/internet/ils-peuvent-recuperer-vos-donnees-mounir-mahjoubi-confirme-une-attaque-internet-de-grande-ampleur-6236230

Sans déconner les gens, depuis le temps qu’on vous dit que le modèle de sécurité SSL basé sur un système d’identification et d’authenfication ne suffisent pas/plus. Le ptit cadenas vert n’a jamais réellement été suffisant pour garantir la sécurité de l’utilisateur et du service. Mais il a bien fallu éduquer l’utilisateur lambda. Et les administrateurs eux même ont finit par croire à leurs mensonges.

On gueule souvent dessus mais ce n’est pas pour rien que la plus part des GAFA ont instauré l’authentification double facteur.

A la cette phrase, “Pour autant, “il n’y pas d’outil unique pour régler cela”, a prévenu David Conrad, de l’ICANN.”

https://www.courrierinternational.com/depeche/internet-et-ses-noms-de-domaine-sous-le-coup-dune-attaque-inedite.afp.com.20190223.doc.1dr5mx.xml

C’est strictement faux. Un outil s’appelant le passive DNS fait le travail et le fait bien.

Si on prend un exemple: mail.shish.gov.al. du 2018–01–14 04:21 au 12–2018–01–14 08:18:55 resolvait en 185.15.247.140

du 2018–12–05 11:52 au 25–2019–02–25 13:56:00 résolvait en 134.0.34.121 et

du 2018–11–02 10:36:47 au 2018–11–09 12:31:52 37.139.11.155.

Sur la période de novembre, il aurait du y avoir une alerte.

La question est pourquoi il n’y en a pas eu. Deux possibilités: soit les gens n’ont pas mis en place ces mécanismes d’alerting, soit l’alerte s’est perdue au fond d’une boite mail.

Bref; tout ça pour dire, que DNSSEC ne sauvera pas le monde sur ces attaques là. Que la résolution de nom ou SSL ne couvrent qu’une partie des risques et que finalement, un bon monitoring des familles avec un authentification 2FA auraient suffit

Mais bon c’est moins sexy à mettre dans un article….

UPDATE 26–02–2018:

Il y a eu quand meme depuis ces dernieres 24h du nouveau coté presse, privé et de l’ANSSI.

Sebdraven

Written by

Sebdraven

OSINT, Python,Malware Analysis, Botnet Tracker, SIEM and IPS/IDS and Threats Expert / co-organizer #BotConf / co-creator of #FastIR/ Researcher at @Epita

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade