O Que São Ataques de Sequestro do DNS e Como Pará-los?
Na maioria das vezes, as pessoas associam ataques de sequestro de DNS a hackers altamente sofisticados e patrocinados pelo Estado, que abrem caminho nos sistemas de organizações com um nível de segurança nacional de importância. Não é algo que você se conectaria a um adolescente que usava um capuz, afastando-se do conforto do porão de sua mãe. Mas é realmente tão difícil de conseguir? Para responder a essa pergunta, precisamos descobrir como um ataque de sequestro de DNS funciona, mas antes que possamos fazer isso, precisamos primeiro aprender o que é o DNS.
Índice
O que é DNS?
DNS significa Domain Name System, e você não estará longe se disser que é uma das coisas que fazem a internet girar. Você pode pensar no DNS como os operadores nas centrais telefônicas do final do século XIX e início do século XX.
Em termos básicos, navegar em um site significa acessar uma coleção de arquivos que são armazenados em um servidor e, se o navegador precisar lê-los, ele precisa saber sua localização. O Domain Name System tem essa informação. Toda vez que você quiser visitar um site específico, você insere o nome de domínio na barra de endereços, o navegador envia uma solicitação ao DNS e o sistema responde dizendo quais dos milhões de servidores conectados à Internet em qualquer tempo tem a informação que você está procurando. Provavelmente você já pode ver o quanto as coisas poderiam estar incorretas se o DNS estivesse comprometido.
Como os hackers quebram o DNS?
Se um nome de domínio deve funcionar, ele precisa ter suas configurações de DNS configuradas corretamente. As configurações de DNS são, em essência, uma coleção de registros que atendem a propósitos diferentes. O chamado "Um registro", por exemplo, contém o endereço IP do servidor no qual os arquivos do site estão localizados, e o "registro MX" armazena informações sobre os recursos responsáveis pela troca de e-mail no domínio.
Normalmente, somente o proprietário do domínio (também conhecido como registrante) tem acesso a essas configurações por meio de um painel de administração que é atendido pela organização que vende o domínio (geralmente, esse é o chamado registrador).
Às vezes, no entanto, os cibercriminosos conseguem obter acesso às configurações de DNS e, quando o fazem, podem modificar todos os registros e executar diversas atividades maliciosas. Eles podem, por exemplo, alterar os registros A e apontar o domínio para um servidor que eles controlam. Dessa forma, todas as pessoas que tentam visitar o site segmentado acabam no servidor dos trapaceiros, onde podem receber malware ou anúncios indesejados. Se os criminosos configuram uma página de phishing aparentemente convincente no servidor malicioso, eles podem facilmente coletar credenciais de login, e as chances são de que os usuários não sejam mais sábios, porque a URL que eles vêem na barra de endereço seria a correta. Estas são apenas algumas das oportunidades que o seqüestro de DNS oferece.
Como já mencionamos, a diversidade de possibilidades torna o seqüestro de DNS perfeito para os chamados grupos de Ameaça Persistente Avançada (Advanced Persistent Threat, APT) que buscam alvos de alto perfil. Mas isso significa que retirar um ataque de sequestro de DNS é particularmente difícil?
O sequestro de DNS é reservado para espiões e hackers patrocinados pelo estado?
A equipe de Talos da Cisco informou recentemente sobre um ataque de seqüestro de DNS, que eles chamaram de Sea Turtle. A campanha começou no início de 2017 e continuou até o primeiro trimestre deste ano. Destina-se a organizações governamentais, militares e industriais no Oriente Médio e Norte da África, e os pesquisadores da Cisco acreditam que um grupo altamente motivado de atores patrocinados pelo Estado é responsável por isso.
Como os especialistas apontam, as pessoas por trás do Sea Turtle parecem ser especialmente descaradas, e algumas das técnicas que eles usaram são bastante inteligentes. Nenhum deles está relacionado ao sequestro de DNS, no entanto.
A Cisco observou que os hackers da Sea Turtle conseguiram obter acesso às configurações de DNS dos domínios alvo, comprometendo os proprietários dos domínios ou os registradores. Os pontos de entrada iniciais foram fornecidos por uma exploração de vulnerabilidades conhecidas de injeção de código ou execução de código ou por meio de um email de spearphishing. Armado com a informação correta, modificar as configurações de DNS não foi tão difícil.
Em outras palavras, um ataque de seqüestro de DNS bem-sucedido não depende de um alto nível de sofisticação ou de um sólido apoio financeiro. Da mesma forma, não há nada muito especial que você possa fazer para proteger as configurações de DNS do seu domínio. Basta corrigir seu software regularmente, usar senhas fortes e não clicar em links aleatórios em e-mails.
