alphaspirit - stock.adobe.com
DNS : une infrastructure critique toujours négligée
Les détournements d'enregistrements DNS pourraient être plus répandus qu'il ne le semblait jusqu'ici. Les équipes Talos de Cisco lèvent le voile sur une nouvelle opération qui aurait commencé il y a plus de deux ans.
Le message n’a manifestement pas été entendu. Fin janvier, le ministère de l’Intérieur américain publiait une directive urgente dans laquelle il demandait aux agences fédérales de prendre une série de mesures précises pour sécuriser leurs enregistrements DNS, sous 10 jours.
L’administration réagissait à l’alerte lancée quelques jours plus tôt par FireEye : ses chercheurs levaient le voile sur une vaste opération de « manipulation d’enregistrements DNS, à une échelle quasiment sans précédent ». Dans un billet de blog, ils expliquaient qu’avaient été visées des organisations gouvernementales, ainsi que des opérateurs télécoms et de services en ligne au Moyen-Orient, en Afrique du Nord, en Europe, et en Amérique du Nord. Avec son alerte, FireEye prenait lui-même la suite des équipes Talos de Cisco. Mais quelques mois plus tard, la situation apparaît toujours aussi préoccupante.
Dans un billet de blog, les équipes Talos de Cisco remettent ainsi le couvert, détaillant une opération qu’ils baptisent Sea Turtle et qu’ils estiment conduite avec la bénédiction d’un état-nation. Selon les chercheurs, l’opération a commencé en janvier 2017 et s’est poursuivie jusqu’au premier trimestre de cette année, touchant au moins 40 organisations différentes dans 13 pays. Elle serait en outre distincte de celle, baptisée DNSpionage, qui avait été dévoilée à l’automne dernier et avait suscité les alertes évoquées plus haut.
Pour mémoire, la manipulation d’enregistrements DNS n’a rien d’anodin : elle permet de rediriger l’internaute vers des sites – finaux ou intermédiaires – frauduleux afin de capter des données potentiellement sensibles, à commencer par des identifiants, et cela sans éveiller ses soupçons.
Comme l’opération DNSpionage, la campagne Sea Turtle a de quoi préoccuper. Mais les vecteurs d’attaque initiaux ont encore une fois de quoi alarmer, et probablement plus. Car à chaque fois, l’altération des enregistrements DNS passe par un accès à leur interface d’administration. C’est donc de la protection des identifiants de comptes administratifs qu’il est essentiellement question – avec notamment l’utilisation pour ceux-ci de l’authentification à facteurs multiples. Ce dernier point constitue d’ailleurs la principale recommandation des chercheurs de Talos.
Mais cela ne s’arrête pas là. Sans trop de surprise, la gestion des vulnérabilités est également impliquée, voire plus généralement la protection des services et des applications Web.
Car selon les chercheurs de Talos, les attaquants obtiennent un accès initial dans l’infrastructure de leurs victimes en utilisant des vulnérabilités dont certaines sont connues et corrigées de longue date : une vulnérabilité de PHP référencée en 2009, une autre d’Apache remontant à 2017, trois concernant des produits Cisco (2017 et 2018), ou encore Drupalgeddon. Et la liste pourrait être plus longue.
Dans une déclaration à la presse, FireEye revient sur ses propres travaux et indique soupçonner que plusieurs acteurs soient « à l’origine d’autres intrusions » impliquant des altérations d’enregistrements DNS, mais sans lien avec DNSpionage – appelé TwoTone par FireEye. Et d’ajouter là un autre soupçon : celui de la compromission d’identifiants autres que ceux utilisés pour un accès manuel à une interface d’administration, ceux utilisés dans le cadre d’échanges suivant le protocole EPP employé entre registres et registrars.