Setidaknya selama dua tahun, aktor ancaman yang sangat lihai telah menjalankan operasi yang mengandalkan DNS Hijacking untuk mencapai target mereka. Dalam operasi itu, setidaknya 40 organisasi publik dan swasta di 13 negara telah dikompromikan.
Dijuluki ‘Sea Turtle‘, operasi ini membuat para korban yang mana fokus utamanya berlokasi di Timur Tengah dan Afrika Utara. Sasaran utama adalah kementerian urusan luar negeri, organisasi militer, badan intelijen, dan perusahaan energi. Tujuan dari operasi mereka adalah cyber-spionage.
Untuk mendapatkan akses ke jaringan sensitif, aktor ancaman di balik Sea Turtle mengkompromikan entitas pihak ketiga yang bertanggung jawab menanggapi permintaan DNS untuk aset web target di berbagai tingkatan dalam ruang nama domain.
Ini termasuk perusahaan telekomunikasi, penyedia layanan internet (ISP), perusahaan IT, pendaftar domain (termasuk yang mengelola domain tingkat atas kode negara – ccTLD), dan satu registri DNS. Ini adalah target sekunder.
Spear-phishing dan kerentanan lama
Para peneliti di divisi keamanan Cisco Talos pada hari Rabu menerbitkan sebuah laporan tentang operasi Sea Turtle, yang menghubungkannya dengan insiden DNS Hijacking yang melibatkan registri Netnod dan diungkapkan pada awal tahun.
Dalam sebuah pernyataan pada saat itu, NetNod mengatakan bahwa mereka bukan target serangan tetapi rute bagi penyerang untuk “menangkap rincian login untuk layanan Internet di negara-negara di luar Swedia” dengan mengubah DNS record.
Vektor serangan yang digunakan dalam operasi ini adalah spear-phishing (setidaknya dalam satu contoh) dan beberapa kerentanan yang diketahui. Berikut ini adalah daftar kerentanan keamanan (yang mungkin tidak lengkap) yang digunakan untuk mendapatkan akses awal atau untuk bergerak secara lateral pada jaringan yang dikompromikan:
- CVE-2009-1151: Kerentanan PHP code injection phpMyAdmin
- CVE-2014-6271: RCE di GNU bash system, yang spesifiknya yaitu SMTP (ini merupakan bagian dari CVEÂ Shellshock)
- CVE-2017-3881: RCE Cisco switches
- CVE-2017-6736: RCE Cisco Integrated Service Router 2811
- CVE-2017-12617: RCE Apache Tomcat
- CVE-2018-0296: Directory traversal Cisco Adaptive Security Appliances (ASA) dan firewall
- CVE-2018-7600: “Drupalgeddon“
Setelah mengubah DNS record, operator membuat framework man-in-the-middle (MitM) yang menyamar sebagai layanan sah yang digunakan oleh korban dengan tujuan mencuri rincian login.
Untuk menghindari deteksi, para aktor melakukan “certificate impersonation,” suatu teknik di mana penyerang memperoleh sertifikat X.509 yang ditandatangani otoritas sertifikat dari penyedia lain untuk domain yang sama dengan meniru yang sudah digunakan oleh organisasi yang ditargetkan.
Misalnya, jika sertifikat DigiCert melindungi situs web, pelaku ancaman akan memperoleh sertifikat untuk domain yang sama tetapi dari penyedia lain, seperti Let’s Encrypt atau Comodo. Taktik ini akan membuat mendeteksi serangan MitM lebih sulit, karena browser web pengguna masih akan menampilkan “gembok SSL” yang ada di bilah URL.
Operator operasi ini sangat mungkin disponsori oleh negara dan meskipun operasi ini terbilang ‘canggih’ untuk mengkompromikan target, ada cara untuk menyulitkan pekerjaan mereka. Netnod mengusulkan langkah-langkah pertahanan berikut:
- Gunakan DNSSEC
- Gunakan fitur pendaftaran seperti Registry Lock dan sejenisnya yang dapat melindungi nama domain dari perubahan
- Gunakan daftar kontrol akses klasik untuk aplikasi, lalu lintas internet dan pemantauannya
- Gunakan otentikasi 2-faktor, dan mengharuskannya digunakan oleh semua pengguna dan subkontraktor yang relevan
- Dalam kasus di mana kata sandi digunakan, gunakan kata sandi unik dan pengelola kata sandi
- Tinjau akun dengan registrar dan provider lainnya
- Pantau sertifikat, misalnya, Certificate Transparency Log
