Hacktivistas se voltam para roubo de DNS

Hacktivistas adicionaram uma nova técnica ao seu arsenal de ataques: redirecionar todo o tráfego do site (e muitas vezes todo o e-mail de transações finais, também)  de uma empresa alvo para o destino de escolha do invasor. De acordo com o especialista em segurança Lars Harvey, da IID, os ataques com motivos políticos estão agora usando roubo de DNS. Um exemplo foi o que aconteceu com os sites do Coach e do UFC (Ultimate Fight Championship).




“Um criminoso pode configurar um site sósia de destino para enganar os clientes a revelarem suas credenciais ou baixarem um malware”, afirmou Harvey.

Muitas empresas prestam pouca – ou nenhuma – atenção para a assegurar de seus registros de domínio e a maioria não monitora continuamente sua DNS para se certificar se está tudo certo e se não está vulnerável a ataques.

“A primeira indicação de sequestro de DNS é a diminuição de tráfego. Percebendo isso, é necessário descobrir as causas e raramente o DNS é primeira coisa que vem à cabeça, o que aumenta o tempo de realização do ataque”.

No domingo (22/01), o domínio UFC.com foi sequestrado por um grupo hacktivista que aparentemente não gostou do apoio da empresa aos projetos de lei Sopa/ Pipa contra pirataria online. Na segunda-feira (23/01) à tarde, o grupo chamado UGNazi sequestrou dois nomes de domínio, coach.com e choachfactory.com, pelo mesmo motivo.

“Felizmente, ambos os sequestros de DNS foram eliminados em questão de horas. No caso do Coach, parece que a empresa de hospedagem legítima para onde o domínio sequestrado foi redirecionado notou o grande fluxo de tráfego, determinou rapidamente que provinha de fonte nefasta e ajudou corrigir o problema”.

Poderia ter sido pior, disse Harvey. “Os dois tiveram sorte, porque aparentemente os hacktivistas não tinham experiência em sequestro de DNS, o que facilitou a eliminação dos ataques”.

Tanto o Coach quanto o UFC registraram seus domínios no Network Solutions. “Os domínios foram raptados por acesso das contas de gerenciamento da Network Solutions. Ainda está claro como realizaram o sequestro. Em tais casos a causa é, normalmente, por senha fraca ou comprometida, ou uma vulnerabilidade no site registrador. Já que poucos registradores usam a autenticação multifatorial isso torna os sequestros de domínio relativamente fáceis”.

As empresas devem ter seus domínios registrados em um medidor de domínio corporativo. “Os serviços de registros corporativos fornecem maiores níveis de segurança e tornam mais difícil o sequestro. Se seu domínio de empresa está registrado em um com foco no indivíduo como o GoDaddy, Network Solutions e Register.com, consequentemente está mais vulnerável”.

Também é de suma importância que as empresas continuamente monitorem seus DNS para que possam se informar imediatamente sobre ataques, afirmou a IID.