Los equipos de Respuesta a Incidentes e Inteligencia de FireEye, Inc. (NASDAQ: FEYE), empresa de seguridad apoyada en inteligencia, identificaron una ola de secuestros de Domain Name System (DNS) especie de malware que reemplaza la configuración TCP/IP de una computadora a un servidor DNS malicioso.

Las redirecciones de DNS han afectado a decenas de dominios pertenecientes a entidades gubernamentales, de telecomunicaciones, proveedores de infraestructura de Internet e instituciones comerciales ubicadas en Oriente Medio, África, Europa y América del Norte.

La campaña tiene como objetivo a víctimas en todo el mundo, en una escala prácticamente sin precedentes, con alto grado de éxito. Los expertos de FireEye han dado seguimento a esta actividad desde hace meses, mapeando y comprendiendo las innovadoras tácticas, técnicas y procedimientos (TTP) utilizadas por los ciberatacantes.

Investigaciones iniciales sugieren campaña iraní

Aunque la actividad no se ha vinculado todavía a ningún grupo detectado y el análisis para hacerlo está en proceso, las evidencias técnicas iniciales sugieren que el actor o los actores responsables pueden tener una relación con Irán. La información confidencial capturada de las entidades monitoreadas serían de interés del gobierno iraní, con bajo valor financiero.

La campaña emplea algunas tácticas tradicionales, pero se diferencia de otras actividades típicas aplicadas por los iraníes, pues se apoya en el secuestro de DNS en escala. El ciberatacante  utiliza diferentes técnicas para obtener una posición inicial y dar seguimiento a la exploración, dependiendo del objetivo.

Las manipulaciones de registros de DNS son sofisticadas y pueden no ser exclusivas de un único agente de amenaza, ya que la actividad abarca plazos, infraestructura y proveedores de servicios distintos. Aunque un atacante no puede obtener acceso directo a la red de una organización, si puede robar información valiosa.

Tácticas de Prevención

Es necesario que algunas tácticas sean implementadas para que una organización esté protegida:

  • Agregar autenticación multifactor en el portal de administración de su dominio;
  • Validar los cambios en los registros A y NS;
  • Buscar certificados SSL relacionados con el dominio y revocar todos los certificados malintencionados;
  • Validar las IP de origen en los registros de OWA/Exchange;
  • Realizar una investigación interna para evaluar si los invasores obtuvieron acceso al ambiente.

Conclusión

El secuestro de DNS y la escala en que fué utilizado demuestran la continua evolución de las tácticas de los actores con base en Irán. Esta es una visión general de un conjunto de TTP observadas recientemente, que viene afectando a innumerables entidades. El anuncio entregado por FireEye para actividades de este tipo, permite que los blancos potenciales puedan tomar las medidas defensivas adecuadas.

Más información y detalles sobre la campaña están disponibles en el blog de FireEye: https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at- scale.html