Les "canards assis" attaquent : Plus d'un million de domaines risquent d'être repris !
Dans le monde de la cybercriminalité, plus d'un million de domaines risquent désormais d'être pris en charge par des acteurs de la menace, à la suite de l'attaque des Sitting Ducks. Selon des rapports récents, l'attaque est menée par des cybercriminels russes via l'exploitation d'une vulnérabilité du système de noms de domaine (DNS). Dans cet article, nous allons nous plonger dans les détails de la vulnérabilité pour découvrir comment les acteurs de la menace l'exploitent. C'est parti !
Attaque des canards assis : Découverte initiale
Une analyse publiée par Infoblox et Exlypsium a révélé que des vulnérabilités DNS sont exploitées par plus d'une douzaine de cybercriminels russes pour lancer des tentatives malveillantes de prise de contrôle de domaines.
Il a été noté que pour mener à bien une telle attaque, les pirates détournent un domaine qui est actuellement enregistré auprès d'un fournisseur d'hébergement web ou d'un service DNS. La tentative de détournement est toutefois menée sans accéder au compte réel du propriétaire. Commentant l'efficacité de la technique d'attaque "Sitting Ducks", les chercheurs affirment que :
"Sitting Ducks est plus facile à réaliser, plus susceptible de réussir et plus difficile à détecter que d'autres vecteurs d'attaque de détournement de domaine bien connus, tels que les CNAME pendants".
La découverte initiale de la technique d'attaque Sitting Ducks a été faite il y a près de dix ans, en 2016, par The Hacker Blog. Depuis 2018, plus de 35 000 domaines ont succombé à cette attaque de détournement de domaine. Les médias affirment que la technique reste largement inconnue et n'a pas été résolue à ce jour.
Détails de l'attaque de prise de contrôle d'un domaine malveillant
Avant de plonger dans la chaîne d'attaque, il est essentiel de comprendre la cause sous-jacente du succès de cette technique. Lors de l'utilisation de cette méthode de prise de contrôle malveillante d'un domaine, trois facteurs jouent un rôle clé :
- Mauvaise configuration chez le registraire du domaine.
- Le serveur de noms n'est pas en mesure de répondre de manière autoritaire pour un domaine.
- Vérification insuffisante de la propriété par le fournisseur DNS faisant autorité.
Avant de mener une attaque à l'aide de cette méthode, les acteurs de la menace s'assurent également que le fournisseur de DNS est exploitable. C'est ce qui leur permet de continuer sans accéder au compte du propriétaire valide. En outre, lorsque le service de domaine expire, les auteurs de la menace peuvent créer un nouveau compte auprès du fournisseur pour en revendiquer la propriété.
Par la suite, le domaine peut être utilisé comme moyen de distribution de logiciels malveillants. En outre, il peut être utilisé pour réaliser d'autres intentions malveillantes telles que l'envoi de spam et l'abus de la confiance acquise par le propriétaire d'origine. Au fil des ans, la technique d'attaque Sitting Ducks a été utilisée par de nombreux acteurs de la menace pour :
- Les escroqueries par sextorsion.
- Distribution de carburant pour le trafic.
- Pôle d'activité Spammy Bear.
- Propager des canulars d'alerte à la bombe.
Pour se prémunir contre une cybercriminalité d'une telle ampleur, les organisations doivent vérifier régulièrement si leurs domaines présentent des signes d'activité malveillante et travailler avec des fournisseurs qui disposent de mécanismes de protection contre l'attaque des Sitting Ducks.
Conclusion
L'attaque des Sitting Ducks représente une menace importante et largement non résolue pour la sécurité des domaines. Les organisations doivent procéder à un audit proactif de leurs domaines et de leurs fournisseurs de DNS afin d'atténuer le risque de prise de contrôle malveillante et de garantir la fiabilité de leur présence en ligne. Compte tenu de la prévalence de ces menaces, l'utilisation de mécanismes de protection robustes est désormais une nécessité pour améliorer la posture de sécurité et réduire l'exposition au risque.
La source de cet article comprend des articles de The Hacker News et de Security Affairs.