Cisco Talos Intelligence Group est une équipe de renseignement commercial sur les menaces du monde internet composé de chercheurs, d’analystes et d’ingénieurs de calibre mondial. Cette équipe s'appuie sur une télémétrie et des systèmes sophistiqués pour collecter des informations précises, rapides et exploitables sur les menaces qui pèsent sur les produits et services de Cisco pour les clients. Dans son suivi des attaques contre le DNS, le groupe dit avoir découvert une nouvelle campagne de cyberattaques baptisée “Sea Turtle” ou “Tortue de mer” qui cible des entités publiques et privées, notamment des organisations de sécurité nationale situées principalement au Moyen-Orient et Afrique du Nord. À en croire le rapport, 40 organisations dans environ 13 pays situés dans ces zones ont déjà été compromises au cours de cette campagne.
Selon le groupe de recherche, les pirates n’auraient pas agi seuls. « Nous estimons avec une grande confiance que cette activité est exercée par un acteur avancé, parrainé par l'État, qui cherche à obtenir un accès persistant à des réseaux et systèmes sensibles », a écrit l’équipe de recherche dans son rapport. Ils affirment que les acteurs à l’origine de cette campagne se sont concentrés sur l'utilisation du piratage DNS en tant que mécanisme permettant d'atteindre leurs objectifs ultimes. Le piratage DNS se produit lorsque l'attaquant peut modifier de manière illicite des enregistrements de noms DNS afin de diriger les utilisateurs vers des serveurs qu'il contrôle. Selon eux, le DHS (Department of Homeland Security) aurait déjà émis une alerte propos de cette activité le 24 janvier 2019, avertissant qu'un attaquant pourrait rediriger le trafic des utilisateurs et obtenir des certificats de cryptage valides pour les noms de domaine d'une organisation.
Cisco Talos rappelle que le détournement de DNS n’est qu’un moyen pour les attaquants d’atteindre leur objectif principal. Sur la base des comportements observés, Cisco estime que les acteurs de ces attaques ont pour réelle intention de voler des informations d'identification pour accéder à des réseaux et à des systèmes présentant un intérêt. Pour atteindre leurs objectifs, les acteurs derrière “Sea Turtle” établissent un moyen de contrôler les enregistrements DNS de la cible. Ensuite, ils modifient les enregistrements DNS pour rediriger les utilisateurs légitimes de la cible vers des serveurs qu’ils contrôlent et enfin, les informations d'identification des utilisateurs légitimes sont capturées lorsque les utilisateurs interagissent avec ces serveurs. Talos a énuméré d’autres vulnérabilités que ces attaquants utilisent le plus souvent pour ce type d’attaques.
Diagramme méthodologique d'attaque de redirection des pirates
Les acteurs à l'origine de la campagne "Sea Turtle" obtiennent également un accès en exploitant des vulnérabilités connues ou en envoyant des courriels de spear-phishing. Talos estime que les acteurs de la menace ont exploité plusieurs CVE connus pour obtenir un accès initial ou pour se déplacer latéralement au sein d'une organisation affectée. Sur la base de leurs recherches, ils estiment que les acteurs de “Sea Turtle” utilisent les exploits connus suivants :
- CVE-2009-1151 : Vulnérabilité d'injection de code PHP affectant phpMyAdmin ;
- CVE-2014-6271 : RCE affectant le système GNU bash, en particulier le SMTP (cela faisait partie des CVE de Shellshock) ;
- CVE-20173881 : RCE par un utilisateur non authentifié avec des privilèges élevés pour les Commutateurs Cisco ;
- CVE-2017-6736 : Exploitation de code à distance (RCE) pour le routeur de service intégré 2811 de Cisco ;
- CVE-2017-12617 : RCE affectant les serveurs Web Apache exécutant Tomcat ;
- CVE-2018-0296 : traversée de répertoires permettant un accès non autorisé aux appliances ASAS (Cisco Adaptive Security) et aux pare-feu ;
- CVE-2018-7600 : RCE pour les sites Web créés avec Drupal, alias “Drupalgeddon”.
Dans son rapport, Cisco Talos explique que les attaques de la campagne dite de “Tortue de mer” sont différentes et plus graves que les attaques observées précédemment qui sont connues sous le nom de DNSpionnage signalé par l’ICANN et d’autres sociétés du domaine. Cela s’explique par le fait que la méthodologie utilisée ici par les acteurs pour cibler divers bureaux d’enregistrement DNS et de registres DNS est différente et est d’un niveau plus avancé. « Les acteurs de la menace de la campagne “Sea Turtle” montrent clairement des signes de grande capacité et de courage. Le niveau d'accès que nous supposons nécessaire pour mener à bien le piratage DNS indique un niveau de menace élevé et permanent pour les organisations des régions ciblées », a déclaré Cisco Talos.
Pour cette vague de cyberattaques contre le DNS, Talos a indiqué qu’il a identifié plusieurs victimes qu’il classe en deux catégories, les victimes principales et les victimes secondaires. Il regroupe dans la première catégorie les organisations de sécurité nationale, les ministères des affaires étrangères et les organisations énergétiques de premier plan. Parmi les cibles entrant dans la catégorie des victimes secondaires figurent de nombreux bureaux d'enregistrement DNS, des entreprises de télécommunication et des fournisseurs de services Internet. Les acteurs de la menace ont ciblé des entités tierces qui fournissent des services aux entités principales afin d'obtenir un accès. L'un des aspects les plus remarquables de cette campagne a été la manière dont ils ont pu détourner leurs principales victimes du DNS en ciblant d'abord ces entités tierces, a fait remarquer Cisco Talos.
Le groupe de recherche fait également remarquer que ces attaquants semblent ne pas se soucier du fait que les agences comme l’ICANN ou d'autres gouvernements soient au courant de leurs activités. Il rapporte qu’ils ont continué les attaques malgré les informations publiques relatant divers aspects de leurs activités. Pour Cisco, ces individus montrent clairement qu’il serait très difficile de les arrêter, raison pour laquelle il rappelle aux diverses organisations de bien vouloir déployer la sécurité maximale requise pour minimiser les risques d’être atteintes par ce genre d’attaques. « En raison de l'efficacité de cette approche, nous encourageons toutes les organisations, à l'échelle mondiale, à s'assurer qu'elles ont pris des mesures pour minimiser la possibilité que des acteurs malveillants dupliquent cette méthodologie d'attaque », a mis en garde Talos.
Source : Cisco Talos
Et vous ?
Qu'en pensez-vous ?
Voir aussi
USA : le FBI et le DHS rapportent que des pirates auraient ciblé des entreprises de l'énergie et de plusieurs autres secteurs critiques du pays
Internet serait-il en proie à une vague d'attaques inédites du système de noms de domaine ? C'est un risque selon l'ICANN
Internet victime de la plus grande attaque de son histoire les assauts DDoS vers Spamhaus ont entraîné un ralentissement du trafic mondial
Les sites web se sont fait attaquer en moyenne 44 fois par jour au cours du dernier trimestre de 2017 selon une étude de SiteLock
OVH victime de la plus violente attaque DDoS jamais enregistrée par un botnet de caméras connectées qui n'étaient pas sécurisées