DNSpionage: Comment en France et pas que on raconte n’import quoi
Au départ, je pensais que c’était une attaque comme les autres décrites par mes amis @rootbsd et @SecurityBeard https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html ainsi que @Azobec dans https://blog-cert.opmd.fr/dnspionage-focus-on-internal-actions/
Puis FireEye et CrowdStrike y ont été de leurs proses: https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html et https://www.crowdstrike.com/blog/widespread-dns-hijacking-activity-targets-multiple-sectors/
Pour la faire simple pour les personnes qui ne comprennent pas les subtilités artistiques des attaquants. Ils ont compromis les zones DNS de une part des agences de renseignement des pays du Moyen Orient et des sociétés de l’énergie pour rediriger les victimes sur les serveurs des attaquants et faire de l’interception d’identifiants notamment sur les serveurs de mails (ici Exchange) qui sont utilisés aussi en interne pour se connecter à des ressources. Rien de fou de fou dans l’histoire, a part des attaquants bien formés et une attaque correctement coordonnée.
L’histoire aurait pu ( même du) s’arrêter là mais l’ICANN a décidé d’y mettre son grain de sel, le 22 février 2019… https://www.icann.org/news/announcement-2019-02-22-en
Alors outre le fait que la recommandation de l’ICAN technique est inutile, l’AFP s’est jeté sur le sujet sans rien comprendre à ce qu’elle reprenait en expliquant que c’était la fin de l’internet mondial. https://www.francetvinfo.fr/internet/securite-sur-internet/internet-un-organisme-previent-dune-attaque-a-tres-grande-echelle_3203823.html
Ce qui est techniquement archifaux.
On découvre ainsi l’interception SSL . https://www.ouest-france.fr/high-tech/internet/ils-peuvent-recuperer-vos-donnees-mounir-mahjoubi-confirme-une-attaque-internet-de-grande-ampleur-6236230
Sans déconner les gens, depuis le temps qu’on vous dit que le modèle de sécurité SSL basé sur un système d’identification et d’authenfication ne suffisent pas/plus. Le ptit cadenas vert n’a jamais réellement été suffisant pour garantir la sécurité de l’utilisateur et du service. Mais il a bien fallu éduquer l’utilisateur lambda. Et les administrateurs eux même ont finit par croire à leurs mensonges.
On gueule souvent dessus mais ce n’est pas pour rien que la plus part des GAFA ont instauré l’authentification double facteur.
A la cette phrase, “Pour autant, “il n’y pas d’outil unique pour régler cela”, a prévenu David Conrad, de l’ICANN.”
C’est strictement faux. Un outil s’appelant le passive DNS fait le travail et le fait bien.
Si on prend un exemple: mail.shish.gov.al. du 2018–01–14 04:21 au 12–2018–01–14 08:18:55 resolvait en 185.15.247.140
du 2018–12–05 11:52 au 25–2019–02–25 13:56:00 résolvait en 134.0.34.121 et
du 2018–11–02 10:36:47 au 2018–11–09 12:31:52 37.139.11.155.
Sur la période de novembre, il aurait du y avoir une alerte.
La question est pourquoi il n’y en a pas eu. Deux possibilités: soit les gens n’ont pas mis en place ces mécanismes d’alerting, soit l’alerte s’est perdue au fond d’une boite mail.
Bref; tout ça pour dire, que DNSSEC ne sauvera pas le monde sur ces attaques là. Que la résolution de nom ou SSL ne couvrent qu’une partie des risques et que finalement, un bon monitoring des familles avec un authentification 2FA auraient suffit
Mais bon c’est moins sexy à mettre dans un article….
UPDATE 26–02–2018:
Il y a eu quand meme depuis ces dernieres 24h du nouveau coté presse, privé et de l’ANSSI.
