Grootschalige DNS-hack richt pijlen op bedrijven wereldwijd

Er is een nieuwe hack-campagne ontdekt die met diverse technieken de DNS records van meerdere organisaties wereldwijd manipuleert. Onderzoekers van FireEye schrijven over de campagne. De records van overheden, telecombedrijven en internet infrastructuurorganisaties worden gehackt.

Bij de campagne worden drie verschillende technieken gebruikt, waarvan er één deels afhankelijk is van frauduleuze SSL-certificaten. Organisaties in het Midden-Oosten, Noord-Afrika, Europa en Noord-Amerika zijn het doelwit van de campagne, die al sinds januari 2017 bezig is.

De aanvallen hebben als doel om inloggegevens van sysadmins te verzamelen, om het verklaar van een website te onderscheppen en malware voor te schotelen. De technieken omvatten onder meer het aanpassen van DNS A records, DNS NS records of een DNS redirector te gebruiken. De DNS redirector-techniek wordt gebruikt samen met één van de twee andere aanpakken om een hack uit te voeren.

FireEye

Hoe de aanvallen precies plaatsvinden is nog onduidelijk. FireEye stelt echter dat het waarschijnlijk om een vorm van phishing gaat. Het is ook mogelijk dat de aanvallers meerdere technieken gebruiken om binnen te komen bij de doelwitten. Ook is onduidelijk welk mechanisme precies gebruikt wordt om de DNS records aan te passen. FireEye denkt dat in ieder geval een aantal records werden aangepast door het registrar-account van een domein van een slachtoffer te comprimitteren.

“Dit is een grote aanval en hij valt op omdat de aanvaller toegang kan krijgen tot gevoelige informatie, zonder ooit binnen je netwerk perimeter te komen”, aldus Ben Read, senior manager van cyber-espionage analysis bij FireEye iSIGHT Intel. “We doen nog steeds onderzoek, maar hebben tot nu toe tientallen gemanipuleerde domeinen gevonden. Het eerste bewijs wijst op een Iraanse sponsor, maar we kunnen het nog niet aan een groepering koppelen.”

Bedrijven kunnen zich tegen de aanvallen beschermen door tweestapsverificatie in te stellen voor het administratie-portal van een domein.