DHS e a NCSC emitem diretiva de emergência

DHS e a NCSC emitem diretiva de emergência para proteger domínios federais da campanha de seqüestro de DNS

A recém-criada Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA – Cybersecurity and Infrastructure Security Agency ) do Department of Homeland Security’s (Departamento de Segurança Interna dos USA) emitiu sua primeira diretiva de emergência na terça-feira, 22 de janeiro, instruindo as agências do governo federal a tomar medidas preventivas contra uma campanha de sequestro de DNS que afetou recentemente vários domínios do poder executivo.

O Centro Nacional de Segurança Cibernética (NCSC – National Cyber Security Centre ) de UK, também anunciou em um alerta que está investigando uma campanha internacional de ataques de adulteração de infra-estrutura do sistema de nomes de domínio (DNS).

Os alertas do governo do Reino Unido e dos EUA seguiram relatórios de pesquisadores das equipes de inteligência Talos e FireEye da Mandiant que uma onda de sequestros no DNS, aparentemente vindos do Irã, afetava dezenas de domínios pertencentes a entidades governamentais, de telecomunicações e de infra-estrutura de Internet no Oriente Médio e Norte da África, Europa e América do Norte.

A unidade de pesquisa Talos, da Cisco Systems, informou pela primeira vez sobre a adulteração da infraestrutura do DNS em novembro de 2018. Os ataques, que a FireEye atribuiu provisoriamente a atores patrocinados pelo Irã, atingiram alvos não apenas na América do Norte, mas também no Oriente Médio, Norte da África e Europa.

Em um cenário típico, os invasores comprometem ou roubam credenciais que lhes permitem acessar os registros DNS de uma organização específica. Em seguida, eles modificam esses registros, substituindo o endereço de site legítimo da organização por um endereço malicioso, no qual os visitantes do site desavisados ​​serão redirecionados. Os criminosos também obtêm certificados de criptografia válidos para os nomes de domínio da segmentação, o que permite descriptografar todos os dados confidenciais que são redirecionados para eles.

Com base na pesquisa, ficou claro para a Talos que esse adversário passou um tempo compreendendo a infraestrutura de rede das vítimas para permanecer escondido dos radares e agir o mais discreto possível durante seus ataques.

Com base na infra-estrutura e nos TTPs desse ator, a Talos não conseguiu conectá-los a nenhuma outra campanha ou ator que tenha sido observado recentemente.

Essa campanha específica utiliza dois sites mal-intencionados contendo postagens de trabalho que são usadas para comprometer os destinos por meio de documentos infectados do Microsoft Office com macros incorporadas.

O malware utilizado por esse ator, que estamos chamando de “DNSpionage”, suporta comunicação HTTP e DNS com os invasores. Em uma campanha separada, os invasores usaram o mesmo IP para redirecionar o DNS dos domínios legítimos .gov e da empresa privada.

Durante cada comprometimento de DNS, o ator cuidadosamente gerou os certificados de criptografia para os domínios redirecionados. Esses certificados fornecem certificados X.509 para TLS gratuitamente ao usuário, mas a Talos não sabe dizer se os redirecionamentos do DNS foram bem-sucedidos.

Sob as autoridades concedidas pelo Congresso na Lei de Segurança Cibernética de 2015, a CISA respondeu com a Diretriz de Emergência 19-01, que ordena às agências federais que auditem seus registros públicos de DNS para todos os servidores DNS autorizados e secundários para garantir que os usuários sejam direcionados ao destino online correto. Para reduzir ainda mais o risco, as agências também devem alterar as senhas de contas do DNS, adicionar a autenticação de vários fatores como um recurso de segurança. Os funcionários da agência têm até o dia 5 de fevereiro para cumprir.

A diretiva também declara que dentro de 10 dias úteis, a CISA “começará a entrega regular de certificados recém-adicionados aos registros de Transparência (CT) de certificados para domínios de agências…” As agências devem responder monitorando dados de registro de CT para quaisquer certificados não autorizados.

Por sua vez, a CISA fornecerá assistência tecnológica às agências que descobrirem registros anômalos de DNS.

A Agência de Segurança da Infraestrutura e Segurança Cibernética foi formada em 18 de novembro de 2018, quando o Presidente Donald Trump sancionou a Lei de Segurança de Infraestrutura e Segurança Cibernética de 2018, que redesignou a Diretoria Nacional de Proteção e Programas (NPPD-
National Protection and Programs Directorate ) como CISA.

Em um post na quinta-feira, o diretor da CISA, Christopher Krebs, explicou por que a ameaça levou sua agência a fornecer uma diretriz. “Sabemos que um atacante ativo está visando organizações governamentais“, escreveu Krebs. “Usando técnicas que não são especialmente inovadoras, sabemos que elas podem interceptar e manipular o tráfego legítimo, tornar os serviços indisponíveis ou causar atrasos, colher informações como credenciais ou e-mails ou causar uma série de outras atividades maliciosas“.

“Sabemos que esse tipo de ataque não é algo que muitas organizações monitoram ou têm controles rígidos“, continuou ele. “Sabemos que um invasor ativo está visando organizações governamentais. Como é nossa responsabilidade tomar medidas para proteger os sistemas federais, sentimos que uma resposta urgente era necessária para lidar com o risco“.

Fonte: SC Media & Talos Blog & Computer Weekly 

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Vulnerabilidade na telefonia permite captura de SMS usado como 2FA

Deixe sua opinião!