Säkerhetsföretaget Fireeye som upptäckt att attackerna pågått sedan 2017 skriver i en rapport att förövarna använder tre olika metoder för att manipulera dns-poster så att ett domännamn pekar på en annan ip-adress än den ordinarie adressen. Detta gör att förövarna kan sätta upp tjänster på sin ip-adress för att fånga upp till exempel inloggningsuppgifter. Attackerna är sofistikerade och effektiva i det att förfarandet låter förövarna skaffa legitima tls-certifikat vilket gör att webbläsarna inte upptäcker kapningen, skriver Ars Technica.

"Ett stort antal organisationer har påverkats av detta mönster av dns-post-manipulationer och falska tls-certifikat”, skriver säkerhetsforskarna Muks Hirani, Sarah Jones och Ben Read på Fireeye i sin rapport. Forskarna skriver att de drabbade inkluderar telekomföretag, internetleverantörer, myndigheter och säkerhetskritiska privata företag. Kampanjen pågår globalt i en sällan tidigare skådad skala och med hög grad av framgång.

Attacken bygger på att förövarna på något sätt redan har tillgång till inloggningsuppgifter till offrens dns-leverantörer och därmed tillgång till dns-administrationen. Förövarna ser då till att byta ip-adressen i den A-post som offrets domännamn ska peka på, till förövarnas egen ip-adress. När bytet väl är gjort använder förövarna en automatiserat Let's Encrypt-tjänst för att generera en legitimt tls-certifikat för sin sajt. Detta är en metod som tidigare beskrivits av Ciscos Talos-avdelning.

Med allt på plats kommer de som tror att de besöker den ordinarie servern att gå till förövarnas server, som samtidigt har kopplingar bakåt till den ordinarie servern för att ge sken av att inget är fel. De intet ont anande besökarna märker ingen skillnad, de får inga varningar, utom möjligen att fördröjningen möjligen blir något längre.

Enligt Fireeye använder förövarna dessa tekniker för att kapa domäner i Nordamerika, Europa, Mellanöstern och Nordafrika. Rådet de ger till dem som misstänker att de utsatts för en domänkapning är att se till att använda multifaktor-autentisering för dns-kontrollanten, kontrollera att deras A- och NS-poster är korrekta, kontrollera loggar för att upptäcka icke-auktoriserade tls-certifikat, och utföra interna kontroller av om nätverket blivit komprometterat.

Baserat på geo-location av ip-adresserna kan attackerna komma från Iran, men bevisningen är svag. Den amerikanska myndigheten National Cybersecurity and Communications Integration Center ser allvarligt på utvecklingen och anser att Fireeyes rapport ska tas på allvar.

Läs också:
8.8.8.8 – Nu börjar Google med DNS över TLS
Cloudflare 1.1.1.1 – nu även i din mobil