Les Etats-Unis se sont réveillés en ce 23 Janvier sous les coups d’une alerte de la part de l’agence fédérale en charge de la sécurité des systèmes d’information (DHS) ordonnant aux agences fédérales d’auditer leurs DNS dans les 10 jours.
Plusieurs domaines gouvernementaux ont été la cible d’attaques de type DNS hijacking plus tôt dans l’année. La société FireEye a publié son rapport révélant avoir détecté une vague d'attaques DNS affectant « des dizaines de domaines appartenant à des entités gouvernementales, des sociétés de télécommunications et d’infrastructure Internet au Moyen-Orient et en Afrique du Nord, en Europe et en Amérique du Nord ».
L’attaque DNS
Le piratage DNS est un type d’attaque malveillante dans laquelle une personne redirige des requêtes vers un serveur de noms de domaine en modifiant les paramètres TCP / IP d’un ordinateur. Elle peut être effectuée directement par un utilisateur illégitime, ou indirectement par un logiciel malveillant (malware), type cheval de Troie (trojan).
La DHS a déclaré que, dans ce cas, l'attaquant commençait par se connecter au panneau d'administration du fournisseur DNS à l'aide d'informations d'identification précédemment subtilisées. L’attaquant modifie ensuite les registres DNS, y compris les enregistrements d’échange d’adresses (MX) ou de serveurs de noms (CNAME) et remplace l’adresse légitime d’un service par ses propres contrôles d’adresse, redirigeant ainsi le trafic. L’attaquant a pour objectif de rediriger le trafic Web et le trafic de messagerie vers ses propres serveurs. Cette attaque servirait donc à des fins d’espionnage.
L’Iran pointé du doigt
Les chercheurs du DHS estiment « avec une confiance modérée » que l'activité récente de détournement de DNS serait menée par un ou plusieurs groupes iraniens et que cette activité est conforme aux intérêts du gouvernement iranien. On ne sait, à ce jour, pas combien de références ont été récoltées mais les chercheurs déclarent que les assaillants avaient « un degré de réussite élevé » en matière de collecte des informations d'identification des cibles.
Cette dernière campagne de détournement de DNS “met en évidence l'évolution constante de la tactique d'acteurs iraniens”, ont souligné les chercheurs de FireEye.