Gli attacchi DNS hijacking sono tornati più in voga che mai. Essi consistono nella modifica della configurazione DNS del router e/o degli altri dispositivi usando meccanismi automatici.
Un criminale informatico che riuscisse a porre in essere un attacco DNS hijacking può reindirizzare gli utenti interessati a consultare siti web assolutamente legittimi verso una pagina web malevola.
Si pensi ai servizi di online banking: digitando l’URL di un istituto bancario nella barra degli indirizzi del browser, la vittima potrà essere a sua insaputa diretta verso una pagina web che imita il sito della banca e che è stata progettata per sottrarre le altrui credenziali.
Nel corso delle ultime settimane diverse autorità, a partire dal Dipartimento della sicurezza interna degli Stati Uniti d’America (DHS), hanno fatto riferimento al prepotente ritorno di attacchi di tipo DNS hijacking posti in essere con l’evidente obiettivo di sottrarre informazioni personali e credenziali di accesso ad aziende e singoli obiettivi.
Della nuova ondata di attacchi, battezzata DNSpionage, avevano parlato per primi i ricercatori di Cisco Talos a novembre 2018. Successivamente sono stati pubblicati, a gennaio 2019, il report di FireEye e, alla fine del mese, quello di CrowdStrike.
CrowdStrike in particolare ha pubblicato la lista degli indirizzi IP utilizzati dai criminali informatici per reindirizzare il traffico e carpire informazioni riservate altrui.
Brian Krebs ha voluto vederci ancora più chiaro e ha utilizzato i dati rivelati da CrowdStrike per raccogliere informazioni sulle modifiche applicate dei criminali informatici a livello di record DNS.
Interrogando servizi come Farsight Security e SecurityTrails (raccolgono passivamente le modifiche apportate alla configurazione dei server DNS per decine di milioni di domini in tutto il mondo), Krebs ha potuto accertare che la campagna DNSpionage ha permesso di alterare arbitrariamente il funzionamento di componenti chiave dell’infrastruttura di enti pubblici e imprese di diversi Paesi.
In alcuni casi gli attacchi non sono neppure avvenuti a livello di singoli router ma addirittura lato registrar ovvero sui sistemi dei fornitori Internet che si occupano della gestione dei nomi a dominio e dei corrispondenti DNS autoritativi (ne abbiamo parlato nell’articolo DNS Google, ecco come funzionano e perché sono utili), addirittura con la generazione di nuovi certificati digitali per le connessioni HTTPS: Passare da HTTP a HTTPS: l’importanza del certificato SSL.
Per evitare che la propria organizzazione possa cadere vittima di attacchi di tipo DNS hijacking, il consiglio è quello di attivare il cosiddetto registry lock (meccanismo che evita la modifica delle impostazioni di un nome a dominio da parte di terzi), abilitare l’utilizzo del protocollo DNSSEC (DNSSEC, cos’è, come funziona e come proteggerà dagli attacchi phishing), utilizzare l’autenticazione a due fattori ogniqualvolta ciò sia possibile, controllare il traffico di rete e impostare access control list per le appplicazioni.
A livello di router, sostituire sempre le credenziali di default per l’accesso al pannello di amministrazione, installare le ultime versioni del firmware rilasciate dal produttore e accertarsi che il dispositivo sia sempre supportato (non abbia già raggiunto il suo “fine vita”).
Infine, è opportuno controllare i DNS impostati sul router servendosi eventualmente anche di servizi “ad hoc”, come spiegammo a suo tempo nell’articolo DNS router, come verificare le impostazioni.