ALLERTA PERICOLI INFORMATICI

Siti web scambiati con cloni per rubare i dati: il giallo dell’attacco al dns

Siti web scambiati con cloni per rubare i dati: il giallo dell’attacco al dns
Scritto da gestore

Dal 2017 un silente attacco su larga scala ha colpito aziende di telecomunicazioni e agenzie di sicurezza in Medio Oriente e nel Mediterraneo. Si sospetta che l’azione sia orchestrata da una nazioneSiti web scambiati con cloni per rubare i dati: il giallo dell’attacco al dns
Dal 2017 un silente attacco su larga scala ha colpito aziende di telecomunicazioni e agenzie di sicurezza in Medio Oriente e nel Mediterraneo. Si sospetta che l’azione sia orchestrata da una nazione
Logo dell’operazione Sea Turtle che identifica l’attacco su larga scala ai sistemi dns (immagine: Talos)
Il dipartimento di intelligence e di ricerca sulla sicurezza e le minacce informatiche di Cisco, Talos, ha scoperto un sofisticato attacco informatico su larga scala con bersaglio i sistemi dns (domain name system) di agenzie di sicurezza nazionale, compagnie di telecomunicazioni, internet provider e service provider in Albania, Cipro, Libano, Turchia, Armenia, Siria, Iraq, Giordania, Egitto, Libia ed Emirati arabi uniti.

Come ha raccontato anche Wired Uk, questa nuova minaccia, soprannominata Sea Turtle, è in atto dal gennaio 2017 e al momento, dopo due anni di attività silente, ha colpito almeno 40 diverse realtà in 13 nazioni differenti. Nonostante l’attacco sia limitato principalmente a Mediterraneo e Medio Oriente, gli esperti sono molto preoccupati che questo attacco possa estendersi a livello globale. Alcuni bersagli secondari, sono stati registrati anche in Svezia, come il service provider NetNod e l’azienda di consulenza Cafax, e negli Stati uniti.

mappa dei bersagli principali e secondari dell’attacco DNS (fonte: Talos)
Gli attori dietro questa campagna si sono concentrati sull’utilizzo del dirottamento del dns come meccanismo per raggiungere i loro obiettivi finali. Questo meccanismo avviene quando l’hacker modifica illecitamente i record dei nomi dns per indirizzare gli utenti verso pagine fraudolentecontrollate dagli stessi attaccanti.

L’obiettivo dell’attacco era quello di eseguire del cyberspionaggio al fine di carpire le necessarie credenziali che consentissero l’accesso a informazioni di importanza strategica.Il commento dell’esperto
Wired ha contattato Fabio Panada, senior security consultant di Cisco Italia, per avere dei chiarimenti sull’attacco. Panada ha spiegato che, vista la complessità e l’enorme costo richiesto da un attacco di tale portata, dietro agli autori potrebbe esserci una nazione sponsor che trae interessi dall’offensiva cibernetica.

Il manager di Cisco Italia ha poi spiegato che gli aggressori hanno utilizzato principalmente due strategie. Il primo è il modo più diretto per accedere ai record dns di un’organizzazione. Avviene attraverso un accesso con le credenziali del fornitore di servizi internet in grado di gestire i domini. Queste credenziali vengono utilizzate per accedere al provider dns dal lato client.

Nel momento in cui un utente malintenzionato è in grado di compromettere le credenziali dell’amministratore di rete di un’organizzazione, l’hacker potrebbe essere in grado di modificare i record dns di quella particolare organizzazione a proprio piacimento.

Il secondo modo per accedere è attraverso un registrar dns, ossia una figura che, in base a un contratto con il registro di uno dei domini di primo livello, può gestirli per conto degli utenti finali. Un registrar vende i nomi di dominio al pubblico e ne gestisce i record per conto del dichiarante attraverso il registro dei domini. I record nel registro del dominio sono accessibili utilizzando l’extensible provisioning protocol (Epp). Nel caso gli aggressori fossero riusciti a ottenere una di queste chiavi Epp, sarebbero stati in grado di modificare qualsiasi record dns gestito da quel particolare registrar.

Per compiere questi attacchi però bisogna essere veramente abili nell’hacking poiché attaccare un dns senza farsi scoprire è un’azione estremamente complessa e costosa. A confermarlo è il direttore di Outreach di Talos, Craig Williams: “Attaccare il sistema dns non è un compito facile. Questa campagna ha combinato diverse parti complesse in un attacco molto più pericoloso che mina la fiducia fondamentale richiesta affinché il dns sia utile”.

Sotto attacco
Sebbene questi attacchi siano molto complessi e difficilmente identificabili,il report del Clusit ha osservato che sono aumentati del 57,4% nel 2018rispetto agli anni precedenti.

Intermezzo promozionale ... continua la lettura dopo il box:

Il 24 gennaio 2019 il dipartimento della Sicurezza nazionale degli Stati Uniti ha avvisato che un hacking ai dns in corso da circa due anni, ma nonostante sia stato svelato, l’attacco potrebbe essere ancora silenziosamente in corso.

Panada perciò suggerisce di: prestare sempre attenzione alle email per non cadere vittime del phishing; copiare un link in un browser per vederne la vera natura; mantenere costantemente aggiornati antivirus e sistema operativo. Infine si consiglia l’utilizzo di strumenti per l’accesso sicuro al dns come il dnssec  (Domain name system security extensions), uno strumento che aiuta a proteggere l’utente dal phishing certificando il sito internet che sta visitando.