Les serveurs de noms de domaine (DNS) sont la version Internet d’un carnet d’adresses. Les serveurs DNS nous permettent d’utiliser des noms lisibles par une personne pour accéder aux sites Web, en convertissant ces noms en adresses IP qui y accèdent. Le serveur DNS agit en tant que traducteur entre le nom de domaine et l’adresse IP.
Dans un rapport publié jeudi, le géant de la cybersécurité, FireEye, a déclaré qu’une nouvelle série d’attaques de piratage de DNS, qui ont « un lien avec l’Iran », ont été décelées. Les chercheurs en cybersécurité affirment que les attaques ont touché des organisations dans le monde entier.
En piratant les serveurs de noms de domaine, les pirates compromettent la technologie sous-jacente qui régit la façon dont le Web fonctionne pour exploiter les faiblesses des noms de domaine des sites. Un piratage de DNS permet aux pirates de s’insérer entre le site Internet d’une victime et tout utilisateur de ce site, et de recueillir toutes les informations sur le site. L’information donnerait aux pirates l’accès aux courriels de l’utilisateur – et une passerelle vers le réseau de l’utilisateur.
Les domaines gérés par le gouvernement, les télécommunications et l’infrastructure Internet situés au Moyen-Orient, en Afrique du Nord, en Europe et en Amérique du Nord ont été compromis, car les enregistrements de DNS ont été modifiés pour rediriger les utilisateurs vers les domaines où les identifiants de messagerie ont été volés.
Le géant de la cybersécurité, FireEye, a repéré pour la première fois une activité en janvier 2017, et a maintenant observé trois méthodes d’attaque :
1. Utilisation des informations d’identification compromises pour se connecter au panneau d’administration d’un fournisseur DNS dans le but de modifier les enregistrements de DNS.
2. Exploitation d’un agent d’enregistrement ou d’un ccTLD précédemment compromis pour modifier les enregistrements du serveurs DNS.
3. Une combinaison des deux précédentes, pour retourner les adresses IP légitimes des utilisateurs en dehors des domaines ciblés.
Selon FireEye, « plusieurs » entreprises de certification DNS/SSL ont été touchées par ces attaques, notamment des opérateurs de télécommunications, des FAI, des fournisseurs d’infrastructures et des gouvernements.
« Il est difficile d’identifier un vecteur d’intrusion unique pour chaque changement d’enregistrement, et il est possible que l’acteur ou les acteurs utilisent des techniques multiples pour s’infiltrer dans chacune des cibles décrites ci-dessus », ont-ils expliqué.
« Les clients des services de renseignements de FireEye ont déjà reçu des rapports décrivant des attaques d’hameçonnage sophistiquées utilisées par un acteur qui manipule également les enregistrements de DNS. De plus, bien que le mécanisme précis par lequel les enregistrements de DNS ont été modifiés ne soit pas connu, nous pensons qu’au moins certains enregistrements ont été modifiés en compromettant le compte de l’agent d’enregistrement de domaine d’une victime. »
Le type d’organisations et d’utilisateurs ciblés par la campagne de cyber-espionnage n’est également pas encore clair, mais FireEye a affirmé qu’il s’agissait notamment de « gouvernements du Moyen-Orient dont les informations confidentielles pourraient intéresser le régime des mollahs et qui ont une valeur financière relativement faible ».
Les pirates ont utilisé des adresses IP qui étaient auparavant associées aux attaques du régime des mollahs, de sorte que FireEye s’est senti en confiance pour attribuer la responsabilité de la campagne à Téhéran.