Ciberespías hackearon los dominios de internet de varios gobiernos

El descubrimiento de un nuevo y sofisticado equipo de hackers que espían docenas de objetivos gubernamentales nunca es una buena noticia. Pero un equipo de ciberespias ha logrado esa escala de espionaje con un truco raro y preocupante, explotando un eslabón débil en la ciberseguridad de internet que los expertos han advertido durante años: el secuestro de DNS, una técnica que se mezcla con la agenda de direcciones fundamental de internet .

Investigadores de la división de seguridad Talos de Cisco revelaron que un grupo de hackers llamado Sea Turtle llevó a cabo una amplia campaña de espionaje a través del secuestro de DNS, que afectó a 40 organizaciones diferentes. En el proceso, llegaron a comprometer múltiples dominios de nivel superior de código de país (los sufijos como .co.uk o .ru que terminan con una dirección web extranjera), poniendo en riesgo todo el tráfico de cada dominio en múltiples países.

Las víctimas de los piratas informáticos incluyen telecomunicaciones, proveedores de servicios de Internet y registradores de dominio responsables de implementar el sistema de nombres de dominio. Pero la mayoría de las víctimas y los objetivos finales, según Cisco, eran una colección de organizaciones en su mayoría gubernamentales, incluidos los ministerios de asuntos exteriores, agencias de inteligencia, objetivos militares y grupos relacionados con la energía, todos con sede en Oriente Medio y África del Norte. Al corromper el sistema de directorio de Internet, los piratas informáticos pudieron usar silenciosamente los ataques de “hombre en el medio” para interceptar todos los datos de Internet desde el correo electrónico hasta el tráfico web enviado a las organizaciones víctimas.

Dilema de nivel superior

El secuestro de DNS se dirige al Sistema de nombres de dominio, el pilar de la arquitectura de Internet que traduce el nombre de dominio que escribe en su navegador, como “google.com”, en la dirección IP que representa la computadora real donde se aloja ese servicio, como ” 64.233.191.255. ” Corrompe ese sistema y los piratas informáticos pueden redirigir ese dominio a cualquier dirección IP que elijan. El investigador de Cisco Talos, Craig Williams, dice que la campaña Sea Turtle es perturbadora no solo porque representa una serie de operaciones de ciberespionaje descaradas, sino también porque pone en tela de juicio ese modelo básico de confianza de Internet.

“Cuando está en su computadora y visita su banco, asume que los servidores DNS le dirán la verdad”, dice Williams. “Desafortunadamente, lo que estamos viendo es que, desde una perspectiva regional, alguien ha roto esa confianza. Usted va a un sitio web y resulta que no tiene ninguna garantía de con quién está hablando”.

Los piratas informáticos han usado el secuestro de DNS muchas veces en años pasados, para todo, desde desgastes de sitios web crudos hasta otra campaña de espionaje aparente, etiquetado como DNSpionage, descubierto por Cisco Talos a finales de 2018 y vinculado a Irán a principios de este año. Williams de Cisco dice que otras empresas de seguridad han atribuido incorrectamente algunas de las operaciones de Sea Turtle, confundiéndolas con las de la campaña del pionero del DNS. Pero la campaña de las Sea Turtle representa una serie distinta y más seria de violaciones de seguridad, argumenta.

“Cualquiera que tenga el control de un dominio de nivel superior puede agregar, eliminar y eliminar registros, o redirigir los dominios y realizar un ataque subversivo de hombre en el medio”, dice David Ulevitch, fundador de la firma OpenDNS centrada en DNS y ahora un socio de la firma de capital de riesgo Andreessen Horowitz. “Eso puede tener tremendas implicaciones de seguridad para cualquier persona con un dominio bajo ese TLD”.

Cisco Talos dijo que no podía determinar la nacionalidad de los piratas informáticos de la Sea Turtle y se negó a nombrar los objetivos específicos de sus operaciones de espionaje. Pero sí proporcionó una lista de los países donde se ubicaron las víctimas: Albania, Armenia, Chipre, Egipto, Irak, Jordania, Líbano, Libia, Siria, Turquía y los Emiratos Árabes Unidos. Craig Williams de Cisco confirmó que el dominio de alto nivel .am de Armenia era uno de los “pocos” que estaban comprometidos, pero no quiso decir cuál de los dominios de alto nivel de los otros países fue igualmente secuestrado.

Cisco nombró a dos de las firmas relacionadas con el DNS que fueron atacadas por los piratas informáticos Sea Turtle: la organización sueca de infraestructura NetNod y Packet Clearing House, con sede en Berkeley, quienes reconocieron en febrero que habían sido hackeados. Cisco dijo que los atacantes se habían metido en esas redes objetivo iniciales con medios tradicionales, como correos electrónicos fraudulentos, y un conjunto de herramientas de herramientas de piratería diseñadas para explotar vulnerabilidades conocidas pero no parcheadas.

Esos objetivos iniciales eran solo un trampolín. Una vez que los piratas informáticos de las Sea Turtles obtuvieron acceso completo a un registrador de dominios, sus operaciones de espionaje siguieron un patrón predecible, según los investigadores de Cisco. Los piratas informáticos cambiarían el registro de dominios de la organización objetivo para que apunten a sus propios servidores DNS, las computadoras que realizan la traducción de los dominios a direcciones IP, en lugar de los legítimos de la víctima. Cuando los usuarios intentaron llegar a la red de la víctima, ya sea a través de la web, correo electrónico u otras comunicaciones de Internet, esos servidores de DNS maliciosos d redirigir el tráfico a un servidor diferente de intermediario que interceptó y espió todas las comunicaciones antes de pasarlas a su destino previsto.

Ese tipo de ataque debe ser evitado por los certificados SSL, que pretenden garantizar que el destinatario del tráfico de Internet cifrado sea quien dice ser. Pero los piratas informáticos simplemente utilizaron certificados falsificados de Let’s Encrypt o Comodo, que podían engañar a los usuarios con signos de legitimidad como el símbolo de bloqueo en la barra de direcciones URL de un navegador.

Con ese servidor sigiloso en su lugar, los hackers recopilarían nombres de usuario y contraseñas del tráfico interceptado. Usando esas credenciales robadas y sus herramientas de pirateo, los atacantes podrían, en algunos casos, penetrar más profundamente en la red objetivo. En el proceso, robarían un certificado SSL legítimo de la víctima que les permitiera hacer que su servidor pareciera aún más legítimo. Para evitar la detección, los piratas informáticos desmontaron su configuración después de no más de un par de días, pero solo después de haber interceptado grandes cantidades de datos de la organización objetivo y las claves para ingresar a su red a voluntad.

Un elemento perturbador del enfoque de los piratas informáticos de las Sea Turtles, y el secuestro de DNS en general, es que el punto de compromiso inicial se produce en los grupos de infraestructura de Internet, totalmente fuera de la red del objetivo real. “La víctima nunca lo vería”, dice Williams.

Romper el modelo de confianza

A principios de 2019, firmas de seguridad, incluidas FireEye y Crowdstrike, expusieron públicamente partes de la operación de la Sea Turtle, dice Williams de Cisco, pensando erróneamente que eran parte de la campaña de pioneros del DNS. A pesar de esa exposición, la campaña de Sea Turtle persistió, dice Williams. El grupo incluso intentó comprometer a NetNod de nuevo.

Sea Turtle no está solo en su entusiasmo por el secuestro de DNS. La técnica está creciendo en popularidad entre los hackers,  particularmente en el Medio Oriente, señala Sarah Jones, analista principal de FireEye. “Definitivamente, hemos visto que más actores lo recogen, y de todos los niveles de habilidades”, dice Jones. “Es otra herramienta en el arsenal, como el escaneo web y el phishing. Y creo que muchos de los grupos que lo detectan están encontrando que no está reforzado en las redes empresariales, porque no es parte de la red. Nadie realmente piensa quién es su registrador [de dominio] “.

Una solución a la epidemia de secuestro de DNS es que las organizaciones implementen un “bloqueo de registro”, una medida de seguridad que requiere que un registrador realice pasos de autenticación adicionales y se comunique con un cliente antes de que se pueda cambiar la configuración de dominio del cliente. El Departamento de Seguridad Nacional de EE. UU. llegó a emitir una alerta a los administradores de red estadounidenses para que verifiquen la configuración de autenticación de su registrador de dominio en enero, que se emitió en respuesta a informes de secuestro de DNS por parte de NetNod y Packet Clearing House según el director ejecutivo de esta última, Bill Woodcock.

Pero Williams de Cisco dice que los registradores de dominios de nivel superior de muchos países aún no ofrecen bloqueos de registro, lo que deja a los clientes en un estado de incertidumbre. “Si estás en esos países, ¿cómo confías en que tu sistema DNS vuelva a funcionar?” él pide.

Todo eso significa que el DNS probablemente solo crecerá como un vector de piratería, dice Williams. “Incluso cuando se capturó a  Sea Turtle, no se han detenido. Han construido esta metodología aparentemente repetible, y están rompiendo el modelo de confianza de internet”, dice Williams. “Y cuando otros ven que estas técnicas son exitosas, las copiarán”.

Fuente: The Wire