La campagne a vu les attaquants envoyer des spams avertissant les destinataires que leurs lieux de travail seraient bombardés s’ils n’envoyaient des paiements en bitcoins. Les enquêteurs ont lié son auteur inconnu à une autre attaque de sextorsion qui prétendait à tort détenir des images de victimes provenant de webcams compromises et qui les faisait chanter afin d’obtenir le paiement d’une rançon en bitcoin.
Les deux campagnes de spam provenaient de domaines hébergés par la société russe Reg.ru, mais le chercheur anti-spam Ron Guilmette aurait découvert que la plupart des domaines utilisés dans la campagne ayant diffusé des alertes à la bombe avaient été transférés depuis le géant américain GoDaddy, et ce peu avant le début de l’attaque. Ars Technica suggère que les domaines ont été piratés à l’aide d’une technique apparue en 2016.
DNS est l’abréviation de Domain Name Service. Il s’agit en réalité d’un répertoire téléphonique pour le web. C’est le moyen utilisé par Internet pour convertir une URL telle que www.example.com en adresse IP pour l’ordinateur hébergeant ses pages web. Votre ordinateur trouve l’adresse IP d’un domaine en interrogeant un serveur de noms qui stocke ces informations dans un enregistrement de type texte appelé fichier de zone.
Votre ordinateur sait quel serveur de noms interroger, car les adresses de serveurs de noms sont stockées dans des serveurs de domaine de premier niveau (TLD) répartis sur Internet. Ces serveurs TLD obtiennent les adresses des serveurs de noms auprès du bureau d’enregistrement qui a initialement enregistré le domaine.
Les sociétés d’hébergement proposant des services de gestion DNS mettent à jour toutes ces informations pour vous. Vous leur indiquez le domaine que vous souhaitez gérer et ils fournissent les informations du serveur de noms appropriées. Le problème est que de nombreux services de gestion DNS permettent aux utilisateurs d’ajouter des domaines à leurs comptes sans vérifier si ces personnes sont les véritables propriétaires des domaines concernés.
En 2016, Matthew Bryant, chercheur en cybersécurité, a découvert cette faille dans le processus de configuration du domaine de la société d’hébergement Digital Ocean avant de réaliser qu’il s’agissait d’un problème beaucoup plus vaste touchant des entreprises allant d’Amazon à Rackspace !
Le problème se produit lorsque le fichier de zone d’un domaine disparaît mais que le propriétaire du domaine ne met pas à jour les informations du serveur de noms détenues par le registraire. Cela peut arriver parce que le propriétaire du domaine ne veut plus héberger de site web sur le domaine ou parce que les paiements pour l’hébergement du domaine sont arrivés à échéance. De temps en temps, comme ce fut le cas avec le domaine détourné virtualfirefox.com, le propriétaire acquiert la propriété légitime du domaine pour éviter qu’un tiers ne le cybersquatte, sans avoir à héberger quoi que ce soit sur ce domaine en question.
Cela laisse un serveur de noms sans fichier de zone, signifiant ainsi qu’un attaquant peut le renseigner avec son propre fichier. Il peut créer un compte gratuit auprès de l’entreprise de gestion DNS/d’hébergement et demander que ce domaine soit inclus dans son compte. Cela leur permet alors de transférer le domaine chez son propre fournisseur d’hébergement. Comme l’a constaté Bryant, de nombreuses sociétés de gestion DNS répondent à cette demande sans vérifier au préalable si quelqu’un d’autre est propriétaire du domaine.
C’est un excellent vecteur d’attaque pour les spammeurs, a expliqué Bryant dans son article de 2016, car cela leur confère une légitimité. Les logiciels anti-spam bloquent souvent les emails en provenance de domaines nouvellement enregistrés ou de mauvaise réputation, compliquant ainsi la tâche des spammeurs dans leurs efforts pour délivrer leurs emails. À l’aide de cette attaque, ils peuvent utiliser les serveurs de messagerie enregistrés dans les domaines piratés pour envoyer des spams provenant de leurs propres serveurs. Les domaines qu’ils piratent ont souvent été enregistrés depuis longtemps et jouissent ainsi d’une bonne réputation, augmentant ainsi nettement les chances de succès de leurs campagnes de spams.
Bryant a déclaré :
Si un attaquant lance une campagne de malwares en utilisant ces domaines, il sera plus difficile de déterminer qui/quoi lance l’attaque, car tous les domaines sembleront être des domaines normaux sans autre signe distinctif que le fait qu’ils utilisent tous le cloud DNS. C’est le rêve de l’attaquant, une attribution problématique et un nombre infini de noms à utiliser pour les campagnes malveillantes.
C’est ce qui semble s’être produit avec le spam ayant diffusé les alertes à la bombe le mois dernier, ainsi que par la campagne de sextorsion mentionnée plus haut. Les recherches de Guilmette auraient révélé que, dans l’ensemble, GoDaddy laissait plus d’un demi-million de domaines vulnérables vis-à-vis d’actions de piratage !
Les attaquants semblent posséder des sites choisis parmi des noms connus, notamment Expedia, Mozilla et Yelp.
GoDaddy a déclaré à Sophos qu’il était en train de résoudre le problème associé aux noms de domaine piratés :
Nous avons en effet développé le correctif pour empêcher l’utilisation malveillante de nos entrées de zone DNS. En raison de la nature sensible de la sécurité, nous ne divulguons pas pour l’instant précisément comment nous l’avons corrigée. De plus, nous supprimons actuellement les noms de domaine mentionnés par l’expert en sécurité.
Pour éviter que leurs sites soient piratés de cette manière, la stratégie la plus sûre pour les propriétaires de domaine est de veiller à mettre à jour les informations de leurs serveurs de noms lors de la suppression d’un fichier de zone afin que les attaquants ne puissent pas prendre le contrôle de leur domaine.
Billet inspiré de Bomb threat spam may stem from GoDaddy DNS weakness, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.