CERT EEUU alerta sobre campaña global de secuestro de DNS

El CERT de los EEUU ha alertado sobre una campaña global de secuestro de infraestructura del Sistema de Nombres de Dominio (DNS).

Según un reporte de FireEye los secuestros de DNS han afectado a docenas de dominios de entidades gubernamentales, de infraestructura de telecomunicaciones e internet en el Medio Oriente y África del Norte, Europa y América del Norte. La investigación inicial sugiere que el actor o los actores responsables tienen un nexo con Irán. La campaña se ha dirigido a víctimas de todo el mundo en una escala casi sin precedentes, con un alto grado de éxito.

Utilizando las siguientes técnicas, los atacantes han redirigido e interceptado el tráfico web y de correo, y podrían hacerlo para otros servicios en red.

  1. El atacante comienza comprometiendo las credenciales del usuario, u obteniéndolas por medios alternativos, de una cuenta que pueda hacer cambios en los registros DNS.
  2. A continuación, el atacante altera los registros DNS, como los registros A (Address), MX (Mail Exchanger), o NS (Name Server), reemplazando la dirección legítima de un servicio con una dirección que controla el atacante. Esto le permite al atacante dirigir el tráfico de usuarios a su propia infraestructura para su manipulación o inspección antes de pasarlo al servicio legítimo, si así lo desea. Esto crea un riesgo que persiste más allá del período de redirección del tráfico.
  3. Debido a que el atacante puede establecer valores de registro de DNS, también puede obtener certificados de cifrado válidos para los nombres de dominio de una organización. Esto permite que el tráfico redirigido sea descifrado, exponiendo cualquier información enviada por el usuario. Dado que el certificado es válido para el dominio, los usuarios finales no reciben advertencias de error.

El Centro Nacional de Integración de Ciberseguridad y Comunicaciones (NCCIC, por sus siglas en inglés), parte de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), ha hecho las recomendaciones siguientes para ayudar a proteger las redes contra esta amenaza:

  1. Actualizar las contraseñas de todas las cuentas que puedan cambiar los registros DNS de las organizaciones.
  2. Implementar la autenticación multifactor en las cuentas de registro de dominio, o en otros sistemas utilizados para modificar los registros DNS.
  3. Auditar los registros DNS públicos para verificar que están resolviendo a la ubicación deseada.
  4. Buscar certificados de cifrado relacionados con dominios y revocar cualquier certificado solicitado de manera fraudulenta.

Deja un comentario