Tientallen organisaties in verschillende landen in het Midden-Oosten en Noord-Afrika zijn de afgelopen jaren slachtoffer van dns-hijacking geworden, waarbij aanvallers de dns-instellingen aanpasten om zo verkeer te kunnen onderscheppen. Op deze manier werd gevoelige data onderschept, zo stelt Cisco.

Begin dit jaar werd er al gewaarschuwd voor aanvallers die wereldwijd dns-instellingen van domeinen wijzigden. Cisco maakt nu melding van een andere groep aanvallers die zich hier sinds januari 2017 mee bezighoudt. De nu ontdekte aanvalscampagne ging tot en met het eerste kwartaal van dit jaar door. Er zouden minstens 40 verschillende organisaties in 13 landen zijn gecompromitteerd.

De slachtoffers zijn in twee groepen te verdelen. De eerste groep zijn de primaire slachtoffers, waaronder nationale veiligheidsorganisaties, ministeries van buitenlandse zaken en vooraanstaande energie-organisaties. Om toegang tot deze slachtoffers te krijgen maakten de aanvallers gebruik van derde partijen die diensten aan de getroffen organisaties leverden. De tweede groep slachtoffers bestaat uit dns-registrars, telecombedrijven en internetproviders.

Toegang

Om de dns-instellingen van een organisatie aan te passen hebben de aanvallers verschillende mogelijkheden. De eerste en meest directe manier is via de registrar met de inloggegevens van de partij die de domeinnaam registreerde. De tweede optie is via een dns-registrar. Het gaat dan bijvoorbeeld om internetproviders, telecomaanbieders of webhosters. Deze registrars beheren via het domeinregistry de dns-records voor hun klanten.

Om de benodigde inloggegevens te bemachtigen proberen de aanvallers eerst toegang tot de organisatie te verkrijgen, bijvoorbeeld via bekende kwetsbaarheden in PHP, routers, switches, Drupal of Apache Tomcat. Tevens zouden er phishingmails zijn verstuurd. Vervolgens wordt geprobeerd om de gegevens te stelen waarmee toegang tot de dns-instellingen kan worden verkregen. De aanvallers wijzigen vervolgens de instellingen en stellen hun eigen server in, zodat er sprake van een man-in-the-middle is. Op deze manier kunnen de aanvallers allerlei gevoelige informatie onderscheppen, zonder dat getroffen organisaties meteen iets doorhebben.

De aanvallers wisten ook de ssl-certificaten buit te maken die met beveiligingsapparaten zoals Cisco ASA zijn geassocieerd om op deze manier vpn-inloggegevens te stelen. Hiermee konden de aanvallers vervolgens toegang tot het netwerk krijgen. Volgens Cisco wisten de aanvallers met gestolen inloggegevens gedurende langere tijd toegang tot de netwerken te behouden.

Om geen slachtoffer van dergelijke aanvallen te worden adviseert Cisco om van een "registry lock service" gebruik te maken. Dns-instellingen kunnen dan alleen via een "out-of-band" bericht worden aangepast. In het geval registrars dit niet aanbieden wordt het implementeren van multifactorauthenticatie aangeraden.