Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

FireEye suit actuellement plusieurs groupes d’activités responsables de la manipulation d’enregistrements DNS

avril 2019 par FireEye

Etant donné les recherches menées aujourd’hui par Cisco Talos sur « Sea Turtle », une attaque commanditée par un Etat manipulant les systèmes DNS, veuillez trouver ci-dessous un communiqué de John Hultquist, Directeur des Renseignements chez FireEye, qui explore les renseignements dont dispose FireEye sur de telles intrusions.

FireEye suit actuellement plusieurs groupes d’activités responsables de la manipulation d’enregistrements DNS. Nous avons mentionné quelques-uns de ces groupes sur notre blog publié le 9 janvier 2019. Nous estimons avec une confiance modérée qu’un petit groupe de cette activité est mené par un acteur Iranien. Il s’agit de l’activité qui exploite le malware que nous appelons TWOTONE et que TALOS appelle DNSpionage.

Cependant, nous soupçonnons d’autres acteurs, et potentiellement d’autres états, d’être à l’origine d’autres intrusions sans liens qui impliquent des manipulations DNS. Certaines de ces activités étaient également mentionnées dans notre blog de janvier 2019. Nous pensons que cette activité comprenait l’utilisation d’identifiants EPP volés et qu’elle est probablement financée par un état. EPP est un protocole sous-jacent utilisé pour gérer le système DNS.
Ces acteurs réussissent à manipuler les enregistrements DNS au niveau du registraire, bien que nous n’ayons pas observé directement les enregistrements ccTLD être modifiés. Modifier ces enregistrements pourrait permettre aux adversaires de détourner le trafic vers une infrastructure détenue par un acteur, puis de le déchiffrer, l’enregistrer et le transférer vers sa cible prévue. Un acteur pourrait aussi rediriger les victimes vers un malware ou simplement déposer des requêtes pour créer une condition de déni de service.
Ces incidents peuvent être très difficiles à détecter puisque les preuves des changements des enregistrements et des certificats SSL résident en dehors du réseau d’entreprise traditionnel et la sécurité de ces systèmes est assurée par une tierce partie.

Bien que FireEye ait identifié un possible acteur iranien et un acteur supplémentaire distinct décrit dans le blog de janvier 2019, nous suivons également une activité de détournement que nous soupçonnons d’être lié à un ensemble d’acteurs complètement différents. Par exemple, un incident en Israël en mars 2019 impliquait l’utilisation de manipulation DNS. L’acteur a détourné le domaine d’un plugin tiers très utilisé sur les sites web israéliens pour distribuer des ransomwares. Le mécanisme de distribution a échoué mais les utilisateurs étaient redirigés vers une page affichant un message politique.
Nous avons observé cette technique utilisée pour soutenir l’espionnage, le crime, l’hacktivisme et d’autres motivations par des acteurs de différents niveaux de compétences, et nous anticipons que plus d’acteurs adopteront cette technique dans un futur proche. De plus, bien qu’une grande partie de ce que décrit TALOS se concentre sur le Moyen-Orient et l’Afrique du Nord, il n’y a pas de raison de penser que les manipulations DNS se limiteront à une quelconque région.


Voir les articles précédents

    

Voir les articles suivants