L’ICANN, organizzazione senza scopo di lucro che – tra i numerosi incarichi – si occupa dell’assegnazione degli indirizzi IP e svolge un’attività di gestione dei nomi a dominio di primo livello, è stata oggetto di un importante attacco informatico che avrebbe consentito agli aggressori di accedere a tutto il contenuto del Centralized Zone Data Service.
L’ICANN, infatti, ha come incarico la gestione del sistema dei nomi a dominio di primo livello generico (gTLD) e dei root server. Ne abbiamo parlato di recente quando ci siamo focalizzati sulle opportunità (e sui rischi) legati all’approvazione di decine e decine di nuovi domini di primo livello: Nuovi domini di primo livello: cosa sono e come si registrano.
I root server dell’ICANN costistuiscono un po´ la spina dorsale del sistema di risoluzione dei nomi a dominio dal momento che hanno il compito di reindirizzare le richieste relative ai domini di primo livello verso i server DNS corretti.
Tutte le volte che si digita nel browser un indirizzo contenente un nome a dominio (es. www.ilsoftware.it), viene in primis effettuato un controllo per accertarsi se in locale (cache del browser e cache del sistema operativo) sia conservata l’informazione sulla corrispondenza tra indirizzo mnemonico (www.ilsoftware.it) e IP del server web che ospita il sito. Nel caso in cui sia la prima volta che si visita un sito web, viene interrogato un server DNS (spesso, quello gestito dal provider Internet utilizzato per connettersi alla Rete) che controlla la presenza di una voce nella sua cache. Nel caso in cui la corrispondenza nome-IP venisse individuata, il DNS restituisce subito l’IP corretto.
Se, di contro, il nome a dominio non risultasse presente nella cache del server DNS, questi provvede a contattare uno dei root DNS server. A questo punto, ottenuta la risposta, il DNS arricchirà la propria cache in modo tale che eventuali successive richieste non debbano essere più inoltrate al server root.
Ne consegue quanto sia importante il ruolo del root server dell’ICANN e quanto siano “sensibili” le informazioni conservate nel Centralized Zone Data Service.
L’attacco spearphishing nei confronti di ICANN è iniziato a novembre
L’ICANN, invitando tutti i dipendenti ed i collaboratori a modificare immediatamente le proprie credenziali di accesso, ha confermato che gli aggressori hanno utilizzato un attacco spearphishing per impossessarsi dei dati di autenticazione e di informazioni sensibili (qui la lista delle informazioni che sarebbero state sottratte).
Lo spearphishing è un attacco che – come nel caso del phishing tradizionale – si basa sull’invio di e-mail fasulle aventi come obiettivo quello di far cadere in un tranello il destinatario. Questi viene infatti spinto a fornire informazioni personali od a compiere azioni pericolose credendo di avere a che fare con una comunicazione legittima.
Gli autori di campagne spearphishing prendono di mira una specifica organizzazione e fanno credere ai destinatari dell’attacco che le loro mail provengano da dirigenti o comunque da fonti affidabili all’interno dell’azienda.
Tra i dati razziati dagli aggressori vi potrebbero essere informazioni circa i futuri piani di approvazione di nuovi gTLD ed informazioni sensibili circa la gestione del sistema di indirizzamento.