L’organisme international qui attribue les adresses Internet (ICANN) avertit que des efforts pour compromettre le système des noms de domaine (« Domain Name System », DNS) sont en cours, ce qui pourrait entraîner des redirections à grande échelle du trafic mondial de données. 

En janvier cette année, les fournisseurs de sécurité Mandiant FireEye et Cisco Talos avaient déjà signalé qu’une attaque de grande envergure dans le monde entier avait compromis des données DNS pour les domaines de la télécommunication, des gouvernements et les organismes d’infrastructure d’internet.

Les équipes de renseignements et les cellules de crise de Mandiant FireEye ont identifié une vague de détournements DNS qui a affecté des dizaines de domaines appartenant au gouvernement, à la télécommunication et les entités d’infrastructures d’Internet à travers le Moyen-Orient et le nord de l’Afrique, l’Europe et l’Amérique du Nord.

Bien que nous n’ayons relié cette activité à aucun groupe surveillé pour le moment, des premières recherches suggèrent que le ou les acteurs responsables ont un lien avec l’Iran. 

Cette campagne a ciblé des victimes tout autour du globe d’une ampleur inégalée, avec un fort taux de réussite.

Nous avons surveillé cette activité depuis plusieurs mois, en schématisant et comprenant les tactiques, techniques et procédures innovantes (les TTP) déployées par l’attaquant.

Nous avons aussi travaillé de près avec les victimes, les organisations de sécurité et les autorités policières là où il était possible de réduire l’impact des attaques et/ou d’empêcher d’autres corruptions.

Même si cette campagne emploie des tactiques traditionnelles, elle est différenciée d’autres activités iraniennes précédemment vues car elle exploite les détournements DNS à grande échelle. L’attaquant utilise cette technique comme point d’ancrage initial, qui peut par la suite être exploité d’une multitude de manières.

Nous allons détailler, par la suite, les trois différentes manières de manipulation d’enregistrements DNS que nous avons observé pour permettre la corruption des victimes.

La première technique impliquant la création d’un certificat Let’s Encrypt et le changement du A record, ce qui a été documenté précédemment par l’équipe Cisco Talos. L’activité décrite ici est une sous-catégorie de l’activité que nous avons observée.

Pour plus d’information sur les techniques d’attaques DNS.