- PVSM.RU - https://www.pvsm.ru -

Анализ последних массовых атак с захватом DNS

Анализ последних массовых атак с захватом DNS - 1

Правительство США и ряд ведущих компаний в области информационной безопасности недавно предупредили о серии очень сложных и распространённых атак DNS hijacking, которые позволили хакерам предположительно из Ирана получить огромное количество паролей электронной почты и других конфиденциальных данных у нескольких правительств и частных компаний. Но до сих пор подробности произошедшего и список жертв хранились в тайне.

В этой статье постараемся оценить масштаб атак и проследить эту чрезвычайно успешную кампанию кибершпионажа от начала и до каскадной серии сбоев у ключевых поставщиков инфраструктуры интернета.

Прежде чем углубиться в исследование, полезно рассмотреть факты, раскрытые публично. 27 ноября 2018 года исследовательское подразделение Talos компании Cisco опубликовало отчёт [1] с описанием продвинутой кампании по кибершпионажу, названной DNSpionage.

DNS означает Domain Name System [2]: система доменных имён, которая служит своего рода телефонной книгой интернета, транслируя удобные названия веб-сайтов (example.com) в числовой компьютерный IP-адрес.

Эксперты Talos написали, что благодаря атаке DNSpionage злоумышленники смогли получить учётные данные электронной почты и других сервисов ряда государственных организаций и частных компаний в Ливане и Объединенных Арабских Эмиратах путём смены DNS-записей, так что весь трафик электронной почты и виртуальных частных сетей (VPN) был перенаправлен на IP-адрес, контролируемый злоумышленниками.

Talos сообщила, что благодаря DNS hijacking хакеры сумели получить сертификаты шифрования SSL для целевых доменов (в том числе webmail.finance.gov.lb), что позволило им расшифровать трафик с аккаунтов электронной почты и VPN.

9 января 2019 года поставщик услуг безопасности FireEye опубликовал свой отчёт [3] «Глобальная кампания по захвату DNS: массовые манипуляции с записями DNS», в котором гораздо больше технических подробностей, как проведена операция, но мало деталей о жертвах.

Примерно в то же время Министерство внутренней безопасности США выпустило редкую директиву по чрезвычайным ситуациям, которая предписывает [4] всем гражданским федеральным агентствам США защищать учётные данные в интернете. В рамках этого мандата DHS опубликовала краткий список доменных имен и интернет-адресов, которые использовались в кампании DNSpionage, хотя список не выходил за рамки того, что раньше сообщали Cisco Talos и FireEye.

Ситуация изменилась 25 января 2019 года, когда специалисты по информационной безопасности CrowdStrike выложили [5] список практически всех IP-адресов, которые использовались в хакерской операции на сегодняшний день. Остальная часть этой истории основана на открытых данных и интервью, которые мы провели, пытаясь пролить больше света на истинные масштабы этой экстраординарной атаки, продолжающейся до сих пор.

Анализ последних массовых атак с захватом DNS - 2

«Пассивный» DNS

Для начала я взял все IP-адреса, упомянутые в отчёте CrowdStrike, и проверил их в сервисах Farsight Security [6] и SecurityTrails [7], которые пассивно собирают данные об изменениях записей DNS, связанных с десятками миллионов доменов по всему миру.

Обратная проверка по этим IP-адресам позволила убедиться, что в последние несколько месяцев 2018 года хакерам DNSpionage удалось поставить под угрозу ключевые компоненты инфраструктуры DNS для более чем 50 ближневосточных компаний и правительственных учреждений, включая цели в Албании, Кипре, Египте, Ираке, Иордании, Кувейте, Ливане, Ливии, Саудовской Аравии и ОАЭ.

Например, эти «пассивные данные» показывают, что злоумышленники смогли перехватить DNS-записи домена mail.gov.ae, который обслуживает электронную почту правительственных учреждений ОАЭ. Вот лишь несколько других интересных доменов, успешно скомпрометированных в рамках операции:

-nsa.gov.iq: Совет национальной безопасности Ирака
-webmail.mofa.gov.ae: электронная почта Министерства иностранных дел ОАЭ
-shish.gov.al: государственная разведывательная служба Албании
-mail.mfa.gov.eg: почтовый сервер министерства иностранных дел Египта
-mod.gov.eg: министерство обороны Египта
-embassy.ly: посольство Ливии
-owa.e-albania.al: портал Outlook Web Access для электронного правительства Албании
-mail.dgca.gov.kw: почтовый сервер бюро гражданской авиации Кувейта
-gid.gov.jo: Главное разведывательное управление Иордании
-adpvpn.adpolice.gov.ae:VPN-сервис полиции Абу-Даби
-mail.asp.gov.al: электронная почта албанской государственной полиции
-owa.gov.cy: портал Microsoft Outlook Web Access для правительства Кипра
-webmail.finance.gov.lb: почта министерства финансов Ливана
-mail.petroleum.gov.eg: министерство нефти Египта
-mail.cyta.com.cy: кипрский телекоммуникационный и интернет-провайдер Cyta
-mail.mea.com.lb: почтовый сервер Middle East Airlines

Пассивные данные DNS от Farsight и SecurityTrails также дают подсказки, когда «захвачен» каждый из этих доменов. В большинстве случаев злоумышленники, видимо, изменили записи DNS для этих доменов (чуть позже расскажем, как это сделано), чтобы они указывали на подконтрольные им серверы в Европе.

Вскоре после начала атаки — иногда спустя недели, иногда дни или часы — злоумышленники смогли получить SSL-сертификаты этих доменов от центров сертификации Comodo [8] и/или Let’s Encrypt [9]. Подготовку нескольких атак можно проследить по crt.sh [10]: база всех новых SSL-сертификатов с функцией поиска.

Рассмотрим подробнее один пример. Отчёт CrowdStrike упоминает IP-адрес 139.59.134[.]216 (см. выше), на котором, согласно Farsight, в течение многих лет размещались семь различных доменов. Но в декабре 2018 года на этом адресе появились два новых, включая домены в Ливане и — что любопытно — Швеции.

Первый из них ns0.idm.сеть.lb — сервер ливанского интернет-провайдера IDM [11]. С начала 2014 года по декабрь 2018 года запись ns0.idm.net.lb указывала на ливанский IP-адрес 194.126.10[.]18. Но на скриншоте от Farsight ниже видно, что 18 декабря 2018 года, DNS-записи для этого интернет-провайдера изменились, перенаправив трафик, предназначенный для IDM, к хостинг-провайдеру [12] в Германии (адрес 139.59.134[.]216).

Анализ последних массовых атак с захватом DNS - 3

Обратите внимание, какие ещё домены сидят на этом IP-адресе 139.59.134[.]216 вместе с доменом IDM, согласно Farsight:

Анализ последних массовых атак с захватом DNS - 4

DNS-записи доменов sa1.dnsnode.net и fork.sth.dnsnode.net в декабре тоже изменились со своих законных шведских адресов на IP немецкого хостера. Эти домены принадлежат Netnod Internet Exchange [13], крупному глобальному DNS-провайдеру из Швеции. Netnod также управляет одним из 13 корневых серверов DNS [14]: критически важный ресурс, лежащий в основе глобальной системы DNS.

Чуть позже вернёмся к компании Netnod. Но сначала давайте посмотрим на другой IP-адрес, указанный в отчёте CrowdStrike как часть инфраструктуры, пострадавшей от атаки DNSpionage: 82.196.11[.]127. На этом голладском адресе также размещается домен mmfasi[.]com. По информации CrowdStrike, это один из доменов злоумышленников, который использовался в качестве DNS-сервера для некоторых из захваченных доменов.

Анализ последних массовых атак с захватом DNS - 5

Как видим, на 82.196.11[.]127 временно размещалась другая пара DNS-серверов Netnod, а также сервер ns.anycast.woodynet.net. Он назван по прозвищу Билла Вудкока [15], исполнительного директора Packet Clearing House (PCH) [16].

PCH — некоммерческая организация из Северной Калифорнии, которая тоже управляет значительной частью мировой инфраструктуры DNS, в том числе обслуживая более 500 доменов верхнего уровня и ряд доменов верхнего уровня Ближнего Востока, пострадавших в операции DNSpionage.

Атака на регистраторов

14 февраля мы связались с генеральным директором Netnod Ларсом Майклом Йогбеком. Он подтвердил, что часть DNS-инфраструктуры Netnod была захвачена в конце декабря 2018 года и начале января 2019 года после того, как злоумышленники получили доступ к учётным записям регистратора.

Йогбек сослался на заявление [17] компании, опубликованное 5 февраля. В нём говорится, что Netnod узнала о своей причастности к атаке 2 января, после чего на протяжении всего времени действовала в контакте со всеми заинтересованными сторонами и клиентами.

«Как участник международного сотрудничества в области безопасности, 2 января 2019 года Netnod стало известно, что мы оказались втянуты в эту серию атак и подверглись атаке типа MiTM (человек-в-середине), — говорится в заявлении. — Компания Netnod не является конечной целью хакеров. По имеющейся информации, их цель состоит в сборе учётных данных для интернет-служб в странах за пределами Швеции».

15 февраля Билл Вудкок из PCH в интервью признался мне, что части инфраструктуры его организации тоже были скомпрометированы.

После получения неавторизованного доступа хакеры переписали записи доменов pch.net и dnsnode.net на те же сервера немецкого доменного регистратора Key-Systems GmbH и шведской компании Frobbit.se. Последняя является реселлером Key Systems, и часть интернет-инфраструктуры у них совпадает.

Вудкок сказал, что с помощью фишинга хакеры выманили учётные данные, которые PCH использовал для отправки сигнальных сообщений, известных как Extensible Provisioning Protocol (EPP) [18] или «расширяемый протокол предоставления информации». Это малоизвестный интерфейс, своего рода бэкенд глобальной системы DNS, позволяющий регистраторам доменов уведомлять региональные реестры (например, Verisign) об изменениях в доменных записях, включая регистрации новых доменов, изменения и передачи.

«В начале января Key-Systems сообщила, что их интерфейсом EPP воспользовались посторонние лица, укравшие учётные данные», — сказал Вудкок.

Key-Systems отказалась комментировать историю. Она заявила, что не обсуждает детали бизнеса своих клиентов-реселлеров.

Официальное заявление [17] Netnod о нападении адресует дальнейшие запросы директору по безопасности Патрику Фёльтстрёму, который также является совладельцем Frobbit.se.

В переписке с нами Фёльтстрём сказал, что хакерам удалось отправить EPP-инструкции в различные реестры как от имени Frobbit, так и Key Systems.

«С моей точки зрения, очевидно, что это ранняя версия будущей серьёзной атаки на EPP, — написал Фёльтстрём. — То есть целью было отправить в реестры правильные EPP-команды. Лично меня очень пугает то, что может произойти в будущем. Должны ли реестры доверять всем командам от регистраторов? У нас всегда будут уязвимые регистраторы, верно?»

DNSSEC

Один из наиболее интересных аспектов этих атак — то, что Netnod и PCH являются громкими сторонниками и последователями DNSSEC [19], технологии для защиты именно от атак такого типа, какой сумели использовать хакеры DNSpionage.

Анализ последних массовых атак с захватом DNS - 6

DNSSEC защищает приложения от подделки данных DNS, требуя обязательной цифровой подписи для всех DNS-запросов для данного домена или набора доменов. Если нейм-сервер определяет, что адресная запись данного домена не изменилась при передаче, то осуществляет резолвинг и позволяет пользователю посетить сайт. Но если запись каким-то образом изменилась или не соответствует запрошенному домену, то DNS-сервер блокирует доступ.

Хотя DNSSEC может быть эффективным инструментом для смягчения подобных атак, только около 20% основных сетей и сайтов в мире включили поддержку этого протокола, согласно исследованию [20] APNIC, интернет-регистратору Азиатско-Тихоокеанского региона.

Йогбек сказал, что инфраструктура Netnod подверглась трём атакам в рамках операции DNSpionage. Первые две произошли в двухнедельном промежутке между 14 декабря 2018 года и 2 января 2019 года и были нацелены на серверы, не защищённые DNSSEC.

Однако третья атака между 29 декабря и 2 января произведена на инфраструктуру Netnod, защищённую DNSSEC и обслуживающую собственную внутреннюю сеть электронной почты. Поскольку у злоумышленников уже был доступ к системам регистратора, они сумели ненадолго отключить эту защиту — по крайней мере, этого времени хватило, чтобы заполучить SSL-сертификаты двух почтовых [21] серверов Netnod [22].

Когда злоумышленники получили сертификаты, то заново запустили DNSSEC на целевых серверах, вероятно, готовясь ко второму этапу атаки — перенаправлению почтового трафика на свои серверы. Но Йогбек говорит, что по какой-то причине злоумышленники не отключили DNSSEC повторно, когда начали перенаправлять трафик.

«К счастью для нас, они забыли его отключить в момент начала MiTM-атаки, — сказал он. — Будь они более квалифицированными, то удалили бы DNSSEC с домена, что вполне могли сделать».

Вудкок говорит, что PCH проверяет DNSSEC на всей инфраструктуре, но при этом не все клиенты компании настроили системы для полной реализации технологии. Это особенно относится к клиентам из стран Ближнего Востока, на которых нацелена атака DNSpionage.

Вудкок сказал, что инфраструктура PCH подверглась нападению DNSpionage четыре раза с 13 декабря 2018 года по 2 января 2019 года. Каждый раз хакеры использовали инструменты для перехвата трафика с учётными данными в течение примерно одного часа, а затем сворачивались и возвращали сеть в исходное состояние.

Наблюдение дольше часа было бы избыточным, ведь большинство современных смартфонов настроены постоянно проверять электронную почту. Таким образом, всего за час хакеры смогли собрать очень большое количество учётных данных.

2 января 2019 года — в тот же день, когда состоялась атака на внутренние почтовые серверы Netnod — хакеры напрямую атаковали PCH, заполучив SSL-сертификаты Comodo двух [23] доменов [24] PCH, через которые тоже идёт внутренняя почта компании.

Вудкок сказал, что благодаря DNSSEC атаку удалось почти полностью нейтрализовать, но хакеры смогли получить учётные данные электронной почты двух сотрудников, которые в то время были в отпуске. Их мобильные устройства загружали почту через WiFi в гостинице, поэтому (по условиям предоставления сервиса WiFi) использовали DNS-серверы отеля, а не системы с поддержкой DNNSEC от PCH.

«Оба пострадавших в это время находились в отпуске со своими iPhone и им пришлось пройти через скомпрометированные порталы при получении почты, — сказал Вудкок. — При доступе им пришлось отключить наши серверы имён, и в течение этого времени их почтовые клиенты проверяли новую почту. Если не считать этого, DNSSEC спасла нас от полного захвата».

Поскольку PCH защищает свои домены с помощью DNSSEC, практический эффект от взлома почтовой инфраструктуры заключался в том, что в течение примерно часа никто, кроме двух удалённых сотрудников, не получал писем.

«По сути, для всех наших пользователей почтовый сервер был недоступен в течение короткого периода времени, — сказал Вудкок. — Люди просто смотрели на телефон, не видели новых писем и думали: странно, проверю позже. И когда они проверяли в следующий раз, всё работало нормально. Группа наших сотрудников заметила краткосрочное отключение почтового сервиса, но это не стало слишком серьёзной проблемой, чтобы началось обсуждение или кто-то зарегистрировал тикет».

Но хакеров DNSpionage это не остановило. В рассылке для клиентов PCH рассказала, что проведённое расследование установило взлом сайта с базой данных пользователей 24 января. База содержит имена пользователей, хэши паролей bcrypt, электронные письма, адреса и названия организаций.

«Мы не видим свидетельств, что злоумышленники осуществили доступ к базе, — говорится в сообщении. — Таким образом, мы сообщаем эту информацию в целях прозрачности и предосторожности, а не потому что считаем данные скомпрометированными».

Продвинутый уровень

Несколько экспертов, которых мы опросили в связи с этой историей, упомянули хронические проблемы организаций по защите своего DNS-трафика. Многие воспринимают его как некую данность, не ведут логи и не следят за изменениями в записях домена.

Даже для тех компаний, которые пытаются контролировать свою DNS-инфраструктуру на предмет подозрительных изменений, некоторые службы мониторинга проверяют DNS-записи пассивно или только раз в день. Вудкок подтвердил, что PCH полагается не менее чем на три системы мониторинга, но ни одна из них не предупредила о часовых угонах DNS-записей, которые поразили системы PCH.

Вудкок сказал, что с тех пор PCH внедрила собственную систему мониторинга DNS-инфраструктуры несколько раз в час, которая немедленно предупреждает о любых изменениях.

Йогбек сообщил, что Netnod тоже усилила мониторинг и удвоила усилия по внедрению всех доступных опций безопасности доменной инфраструктуры. Например, раньше компания не блокировала [25] записи для всех своих доменов. Такая защита предусматривает дополнительную аутентификацию перед внесением любых изменений в записи.

«Нам очень жаль, что мы не обеспечили максимальную защиту наших клиентов, но мы сами стали жертвой в цепочке атак, — сказал Йогбек. — После ограбления вы можете установить лучший замок и надеяться, что теперь повторить подобное станет сложнее. Я действительно могу сказать, что мы многому научились, став жертвой этого нападения, и сейчас чувствуем себя гораздо увереннее, чем раньше».

Вудкок обеспокоен тем, что ответственные за внедрение новых протоколов и другие сервисы инфраструктуры всерьёз не воспринимают глобальную угрозу DNS-атак. Он уверен, что хакеры DNSpionage взломают ещё много компаний и организаций в ближайшие месяцы и годы.

«Битва идёт прямо сейчас, — сказал он. — Иранцы проводят эти атаки не для краткосрочного эффекта. Они пытаются проникнуть в интернет-инфраструктуру достаточно глубоко, чтобы совершить что им захочется в любой момент. Они хотят обеспечить себе как можно больше вариантов для манёвра в будущем».

Рекомендации

Джон Крейн — руководитель по вопросам безопасности, стабильности и отказоустойчивости ICANN, некоммерческой организации, которая курирует глобальную индустрию доменных имен. Он говорит, что многие методы профилактики и защиты, которые могут затруднить злоумышленникам захват доменов или инфраструктуры DNS, известны уже более десяти лет.

«Многое сводится к гигиене данных, — сказал Крейн. — Ни крупные организации, ни самый малый бизнес, не обращают внимания на некоторые очень простые методы безопасности, такие как многофакторная аутентификация. В наши дни, если у вас неоптимальная защита, вас взломают. Такова реальность сегодняшнего дня. Мы видим в интернете гораздо более изощрённых противников, и если вы не обеспечиваете базовой защиты, они ударят по вам».

Некоторые из передовых методов защиты для организаций:

  • Использовать DNSSEC (как для подписи, так и для проверки ответов)
  • Использовать функции регистрации, такие как блокировка записи (Registry Lock), которые помогают защитить записи доменных имен от изменения
  • Использовать списки контроля доступа для приложений, интернет-трафика и мониторинга
  • Использовать двухфакторную аутентификацию и требовать её использования всеми соответствующими пользователями и субподрядчиками
  • В случаях, когда применяются пароли, выбирать уникальные пароли и рассмотреть менеджеры паролей
  • Проверять аккаунты у регистраторов и других поставщиков
  • Проводить мониторинг сертификатов, например, с помощью Certificate Transparency Logs [26]

Автор: m1rko

Источник [27]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/dns-2/309539

Ссылки в тексте:

[1] опубликовало отчёт: https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html

[2] Domain Name System: https://en.wikipedia.org/wiki/Domain_Name_System

[3] опубликовал свой отчёт: https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html

[4] предписывает: https://cyber.dhs.gov/blog/#why-cisa-issued-our-first-emergency-directive

[5] выложили: https://www.crowdstrike.com/blog/widespread-dns-hijacking-activity-targets-multiple-sectors/

[6] Farsight Security: https://www.farsightsecurity.com/

[7] SecurityTrails: https://securitytrails.com/

[8] Comodo: https://www.comodo.com/

[9] Let’s Encrypt: https://letsencrypt.org/

[10] crt.sh: https://crt.sh/

[11] IDM: https://www.idm.net.lb/

[12] хостинг-провайдеру: https://www.reg.ru/?rlink=reflink-717

[13] Netnod Internet Exchange: https://www.netnod.se/

[14] 13 корневых серверов DNS: https://en.wikipedia.org/wiki/Root_name_server

[15] Билла Вудкока: https://en.wikipedia.org/wiki/Bill_Woodcock

[16] Packet Clearing House (PCH): https://www.pch.net/

[17] заявление: https://www.netnod.se/news/statement-on-man-in-the-middle-attack-against-netnod

[18] Extensible Provisioning Protocol (EPP): https://en.wikipedia.org/wiki/Extensible_Provisioning_Protocol

[19] DNSSEC: https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

[20] исследованию: https://stats.labs.apnic.net/dnssec/XA?c=XA&x=1&g=1&r=1&w=7&g=0

[21] двух почтовых: https://crt.sh/?id=1071765455

[22] серверов Netnod: https://crt.sh/?id=1071723007

[23] двух: https://crt.sh/?id=1075482182

[24] доменов: https://crt.sh/?id=1075482666

[25] блокировала: https://www.icann.org/resources/pages/locked-2013-05-03-en

[26] Certificate Transparency Logs: https://www.certificate-transparency.org/how-ct-works

[27] Источник: https://habr.com/ru/post/441220/?utm_source=habrahabr&utm_medium=rss&utm_campaign=441220