Fushata e piratërisë në infrastrukturën globale DNS

Sipas hulumtuesve të sigurisë të Cisco Talos, pas sulmeve të fundit që si cak kishte organizatat e sigurisë kombëtare dhe infrastrukturën kritike të Internetit, qëndron një fushatë piratërie e DNS-it.

Cisco Talos[1] ka zbuluar një fushatë kërcënimesh të reja kibernetike ndaj të dhënave DNS në shkallë globale, të cilat grupi Talos i kishte quajtur “Sea Turtle” (Breshka e detit) dhe e cila kishte si cak sulmin ndaj subjekteve publike dhe private, duke përfshirë organizatat e sigurisë kombëtare, kryesisht në Lindjen e mesme dhe në Afrikën veriore.

DNS është shkurtesë për Domain Name System (Sistemi i emrave të domeneve) dhe bën lidhjen mes emrave që ne përdorim për domen të ndryshëm si p.sh. milingona.al, dhe adresave IP që ato përdorin. DNS ndryshe mund të mendohet si libri i adresave në Internet, siç është libri i numrave të telefonit. Një sulm i suksesshëm ndaj këtij sistemi do të bënte Internetin krejt të pa përdorshëm.

Operacioni i sulmit ndaj DNS-it global, besohet që ka filluar që në fillim të Janarit të 2017-ës, duke komprometuar kështu më se 40 organizata në 13 vende të ndryshme vetëm në çerekun e parë të 2019-ës. Po ashtu besohet që prapa këtij aktiviteti qëndrojnë haker të shkathtë dhe të financuar nga shteti dhe të cilët tentojnë të fusin nën kontroll sistemet dhe rrjetat senzitive globale. Ata fillimisht kishin sulmuar regjistruesit DNS, kompanitë e telekomunikimeve dhe ofruesit e shërbimeve të internetit, para se të nisin sulmet kryesore që si cak kishte organizatat e sigurisë kombëtare, ministritë e punëve të jashtme dhe organizatat e mirënjohura energjetike.

“Kemi frikë që suksesi i këtij operacioni do të çojë tek rritja e rrethit të sulmuesve duke rrezikuar kështu sistemin global DNS. DNS është një teknologji bazë që mundëson funksionimin e Internetit.  Manipulimi i këtij sistemi mund të minoi besimin e përdoruesve të Internetit. Ky besim dhe stabiliteti i sistemit DNS në përgjithësi, ndikon drejtpërdrejtë në ekonominë globale”, shkruajnë hulumtuesit e Talos në një postim në blog.

Në rastet e mëhershme të sulmeve ndaj DNS-it, hakerët thjeshtë kanë manipuluar me të dhënat në DNS ashtu që të drejtojnë trafikun drejt domenëve të tyre mashtrues. Në sulmet “Sea Turtle”, hakerët kishin krijuar serverët e tyre të emrave (NS server) dhe kishin kapur trafikun, kryesisht përmes mangësive në phpMyAdmin, Drupal, Apache etj, që pastaj të mund të vidhnin kredencialet dhe informatat e tjera të vlefshme. Me të marrë kredencialet, ata do të hapnin regjistrat NS[2] për t’i manipuluar, ashtu që trafikun (kërkesat DNS) e destinuar për një domen legjitim, ta ri-drejtojnë tek serverët e tyre. Infrastruktura e tyre ishte e përbërë nga Serverë për sulmet men-in-the-middle duke u shtirur si shërbime legjitime.

Pas një komprometimi të suksesshëm, shfrytëzuesit fillimisht do të drejtoheshin tek faqet mashtruese të cilat do t’u vidhnin atyre kredencialet, e pastaj do t’i ridrejtonin ata tek faqet legjitime duke mos u hetuar kjo nga shfrytëzuesi. Përveç kësaj, sulmuesit kanë vjedhur certifikatat SSL nga rrjetat e komprometuara ashtu që të mund të komprometojnë edhe më shumë llogari.

Hulumtuesit e Cisco Talos, thanë që një herë autorët e kërcënimit kishin qasje në rrjetin e një organizate, ku ata vodhën certifikatat e vlefshme SSL të përdorura për pajisje sigurie dhe aplikacione të tilla si VPN për të mbledhur më shumë kredenciale dhe për të zgjeruar qasjen e tyre në mjedisin e sulmuar. Craig Williams, drejtor i informimit për Cisco Talos, shkroi me postë elektronike që sapo këto kredenciale të jenë vjedhur, “është pothuajse e pamundur që plotësisht të mbyllësh një fushatë derisa kredencialet të rifitohen, të ndryshohen dhe të mbyllen.”

“Për t’u mbrojtur më së miri nga ky lloj sulmi, Talos sugjeron përdorimin e një shërbimi të bllokimit të regjistrit, i cili do të kërkojë një mesazh jashtë grupit para se të ndodhin ndonjë ndryshim në regjistrin DNS të një organizate. Nëse regjistri juaj nuk ofron një bllok regjistrimi të shërbimit, ne rekomandojmë zbatimin e autentikimit me shumë faktorë siç është Duo, për të hyrë në dosjet DNS të organizatës suaj,” tha Williams.” Nëse dyshoni se keni qenë në shënjestër nga ky lloj i ndërhyrjes, ne rekomandojmë vendosjen e një rishkruesi të fjalëkalimeve të rrjetit të gjerë, mundësisht nga një kompjuter në një rrjet të besueshëm, monitorimin e rekordeve pasive DNS në domen, ashtu që të mund të kontrollohen anomalitë.”

Në nëntor 2018, Talos raportoi për një fushatë të ngjashme rrëmbimi të rekordeve DNS në Lindjen e Mesme. Në janar, FireEye u zgjerua në atë hulumtim, duke vënë në dukje se sulmet kishin në shënjestër entitetet qeveritare dhe mund të ishin mbështetur nga Irani. Këto raporte e udhëhoqën Departamentin e Sigurisë Kombëtare të SHBA-s për të urdhëruar agjencitë federale që të përforconin sistemet kundër sulmeve të mundshme të plaçkitjes së DNS-it.

Studiuesit e Talos këmbëngulin që fushata e plaçkitjes së DNS-it të ishte e pavarur nga fushata e kaluar, por Williams tha se “Ky ndoshta është një trend që do të shohim të evoluoj dhe të përdorët në më shumë vende të botës.”

John Hultquist, drejtor i inteligjencës në FireEye, u pajtua dhe shkroi me postë elektronike: “Ne besojmë që kjo është një trend, dhe parashohim që më shumë aktorë do të përfitojnë nga kjo taktikë”.

Për t’u mbrojtur më së miri nga këto lloj sulmesh, Talos rekomandon që, për t’iu qasur të dhënave në DNS-in e organizatës tuaj, të përdorën shërbimet e bllokimit të regjistrave të DNS-it[3]. Nëse kjo nuk është e mundur, atëherë të përdorët autentikimi me shumë faktorë. Nëse dyshoni që organizata juaj është prekur nga ky aktivitet, Talos rekomandon që të ndryshoni të gjitha fjalëkalimet në rrjetë, preferohet që kjo të kryhet nga një kompjuter i besueshëm në atë rrjetë.

Përveç këtyre, mund të përdorni DNSSEC[4], autentikimin e entiteteve që bazohen në DNS dhe të instaloni një monitorim të vazhdueshëm ashtu që të zvogëloni ndikimin e sulmeve.