インターネットのドメイン登録業者と少なくとも1つのレジストリが乗っ取られ、特定のウェブサイトのDNS設定が変更され、そのサイトの訪問者が実際にはパスワードを盗むフィッシングページに誘導されたと研究者らが水曜日に詳細を報じた。
特定のターゲットをフィッシングするために、国別コードレベルのトップレベルドメインを扱う組織を含むウェブドメイン組織に国家支援の犯罪者が侵入したのはこれが初めてだと考えられています。
基本的に、レジストリやレジストラに侵入したハッカーは、特定のウェブサイトやサーバーのDNSレコードを変更します。これにより、ユーザーがそのシステムにアクセスしようとした際に、ブラウザやソフトウェアは正規のサービスを装ったマシンに接続するように指示されます。こうして悪意のあるクローンは、騙されたユーザーが入力したユーザー名、パスワード、その他の機密情報を収集し、正規のサービスにユーザーになりすましてログインできるようになります。
Cisco Talosのエキスパートたちは今週発表した報告書の中で、「Sea Turtle」グループとして知られる犯罪集団が、中東および北アフリカ13カ国にまたがる40の標的企業および政府機関からDNSエントリを操作し、ユーザー認証情報を収集した経緯を詳述しました。収集された認証情報は、標的の企業や組織への侵入に利用されました。
2017 年 1 月頃から 2019 年第 1 四半期にかけて、レジストリとレジストラ内のコンピュータ システムが、従業員を騙してマルウェアを仕込んだスピア フィッシング メールを開かせることで感染しました。通常、レジストリは .com や .org などのトップレベル ドメインを管理し、一般の人々はレジストラを介してこれらの TLD を使用してドメインを売買します。
これらのドメイン管理組織に対するサイバー攻撃は非常に深刻だったため、米国国土安全保障省は1月にインターネットユーザーに対し、同様のハイジャックを避けるためDNSレコードをロックダウンするよう警告を発した。
中東は攻撃者にとって明らかな標的だ… 出典: Talos
Talosは、複数の脆弱性が悪用され、ドメイン組織への侵入に利用されたと指摘しました。その一つがCVE-2017-3881です。これは、Cisco IOSおよびIOS XEルータのクラスタ管理プロトコルに存在するリモートコード実行の脆弱性で、telnet接続を介してリモートからの乗っ取りが可能になるものでした。
「今回のインシデントは主に中東と北アフリカの国家安全保障組織を標的としており、この特定のキャンペーンの影響を誇張するつもりはありませんが、この作戦の成功により、攻撃者がより広範囲にグローバルDNSシステムを攻撃するようになることを懸念しています」と、Team Talos(ダニー・アダミティス、デビッド・メイナー、ウォーレン・マーサー、マシュー・オルニー、ポール・ラスカニエレス)は作戦の概要の中で述べています。
「DNSはインターネットを支える基盤技術です。このシステムを不正に操作すると、ユーザーがインターネットに抱く信頼を損なう可能性があります。」
標的となった企業や政府機関の DNS エントリが、数分から数日間という短期間で改ざんされたと伝えられており、これは非常に集中的なスパイ活動であったことを示している。
悪質な認証情報収集サイト(標的の企業や団体に勤務する人々が DNS ハイジャックによってリダイレクトされる)では、フィッシング ページを正規のものに見せるために、Let's Encrypt や Comodo などを使用してスヌープが作成した HTTPS 証明書が使用されていました。
入手したログイン情報を用いて標的のネットワークに侵入したハッカーは、侵入した組織の内部SSL証明書を盗み出し、スパイ対象の企業や政府機関への従業員からのVPN接続を一時的に中間者攻撃(MITM)で傍受する。ハッカーたちは、この盗聴を実行するために、Cisco Adaptive Security Appliance(ASA)製品を装った悪意のあるサーバーを稼働させることができたと伝えられている。
警告は受けている
DNSシステムへの攻撃は、以前から既知の脅威となっています。10年以上も前から、研究者たちは、悪意のある者がDNSルックアップシステムを弱体化させ、ネットユーザーを悪意のあるサーバーに誘導する様々な方法について警告してきました。
Sea Turtle のハッキングを受けたレジストリの 1 つであるスウェーデン拠点の NetNod は、サウジアラビアの .sa ドメインを、合法的な企業または政府のログイン ポータルを装った悪意のあるボックスにリダイレクトするようにハッキングされたことを認めました。
保護対策としては、TalosはDNSロックサービスの利用を推奨しています。これにより、サイトやサーバーのDNSレコードを変更する際には、ドメイン所有者の明示的な許可が必要になります。また、セキュリティパッチを常に最新の状態に保つこと、多要素認証を使用すること、攻撃発生時にネットワーク全体のパスワードリセット計画を準備することなど、一般的なベストプラクティスに従うことも推奨しています。®
