Attaque internet mondiale : ce que l'on sait du mode opératoire

Une attaque d'une ampleur incroyable. A l’origine, c’est la division de recherche Talos de Cisco qui repère le 27 novembre 2018 une campagne sophistiquée de cyberespionnage baptisée "DNSpionage". Talos a identifié le vol de courriers électroniques et autres identifiants de connexion d’un certain nombre d’entités gouvernementales et privées du Liban et des Émirats arabes unis.

Tout le trafic vers ces sites a été redirigé vers une adresse Internet contrôlée par les attaquants. Ces derniers ont ainsi obtenu des certificats de chiffrement SSL pour les domaines ciblés, ce qui leur a permis de déchiffrer les informations d'identification de courrier électronique.

Le 9 janvier 2019, le fournisseur américain de solutions de sécurité FireEye a publié un rapport où il décrivait l’attaque. Au même moment, le département américain de la Sécurité intérieure a publié une directive d’urgence ordonnant à toutes les agences civiles fédérales américaines de sécuriser les identifiants de connexion pour leurs enregistrements de domaine Internet. Le 25 janvier 2019, c’est au tour de la société de sécurité CrowdStrike de publier un article de blog répertoriant la plupart des adresses Internet connues pour être utilisées par la campagne d'espionnage à ce jour.

A ce jour, ce sont ainsi 50 entreprises et agences gouvernementales du Moyen-Orient (Arabie saoudite, Émirats arabes unis, Irak, Jordanie, Koweït, Liban, Libye) mais aussi Albanie et Chypre qui seraient concernées (voir encadré). Les experts qui ont enquêté sur l’attaque sont même parvenus à repérer à quels moments chacun des domaines interne avaient été piratés. Des adresses de sites pirates vers lesquelles les trafics des sites piratées ont été redirigées pointent ainsi vers le Liban et… la Suède, les Pays Bas et l’Allemagne, où ces sites pirates ont donc été déclarés. L’acteur suédois est particulièrement intéressant. Dénommé Netnod, il figure parmi les exploitant de l’un des 13 serveurs « racines », à la base du système DNS mondial. Netnod hébergeait également des serveurs de l’américain PHC, qui gère lui même plus de 500 domaines de premier niveau et plusieurs domaines de premier plan ciblés par DNSpionage.

Les pirates sont donc tombés sur une mine d’informations au travers de ramifications des annuaires des sites internet mondiaux. Et c’est en récupérant des identifiants de connexion chez ces bureaux d’enregistrement dont la sécurité s’est révélée assez faible que les pirates ont pu modifier les arborescences des annuaires. Pire, sur certains des annuaires, le protocole ultra sécurisé DNSSEC avait été activé. Mais comme les pirates avaient eu auparavant brièvement accès aux systèmes du bureau d’enregistrement, ils ont pu désactiver cette protection.

Quatre attaques de ce type ont ainsi été identifiées entre le 13 décembre 2018 et le 2 janvier 2019. Les attaquants n’avaient pas besoin d’activer leur surveillance plus d’une heure à chaque fois, car la plupart des smartphones modernes sont configurés pour extraire en permanence de nouveaux messages pour tous les comptes que l’utilisateur a configurés sur son appareil. Ainsi, les attaquants ont pu récupérer un grand nombre d'informations d'identification à chaque détournement. Cela via deux employés de l’opérateur suédois qui voyageaient et se connectaient régulièrement via le wifi de leur hôtel au réseau de leur entreprise mais sans passer par la protection mise en place par leur société.

A cela s’ajoute que l’ensemble des entreprises et administrations ne contrôlent jamais vraiment les modifications apportées à tout ce qui touche à leurs infrastructures de noms de domaines.

Quelques unes des adresses détournées :

- nsa.gov.iq: National Security Advisory, Irak

- webmail.mofa.gov.ae: Serveur de messagerie du ministère des Affaires étrangères des Emirats Arabes Unis

- shish.gov.al: Site des services secrets albanais

- mail.mfa.gov.eg: Serveur de messagerie du ministère des Affaires étrangères égyptien

- mod.gov.eg: Site du ministère de la défense égyptien

- embassy.ly: Site de l’ambassade de Lybie

- owa.e-albania.al: portail de l’e-administration albanaise

- mail.dgca.gov.kw: serveur de messagerie de l’Aviation Civile du Koweit

- gid.gov.jo: Direction des services secrets jordaniens

- adpvpn.adpolice.gov.ae: Service VPN de la Police d’Abou Dhabi Police

- mail.asp.gov.al: Serveur de messagerie de la Police d’Etat Albanaise

- owa.gov.cy: Accès à la messagerie Microsoft Outlook Web Access du Gouvernement Chypriote

- webmail.finance.gov.lb: Serveur de messagerie du ministère des Finances du Liban

- mail.petroleum.gov.eg: Serveur de messagerie du ministère du Pétrole Egyptien

- mail.cyta.com.cy: Site internet du FAI chypriote Cyta telecommunications

- mail.mea.com.lb: Serveur de messagerie des Compagnies aériennes du Moyen Orient