FireEye revela actividad global de secuestros de DNS

Palabras clave

DNS
Contenido patrocinado: 
Las redirecciones de DNS han afectado a decenas de dominios pertenecientes a entidades gubernamentales
Autor:
Es especie de malware que reemplaza la configuración TCP/IP de una computadora a un servidor DNS malicioso
Domain Name System

Los equipos de Respuesta a Incidentes e Inteligencia de FireEye, Inc., empresa de seguridad apoyada en inteligencia, dieron a conocer una ola de secuestros de Domain Name System (DNS), una especie de malware que reemplaza la configuración TCP/IP de una computadora a un servidor DNS malicioso.

INFORMACION

De acuerdo con la compañía, las redirecciones de DNS han afectado a decenas de dominios pertenecientes a entidades gubernamentales, de telecomunicaciones, proveedores de infraestructura de Internet e instituciones comerciales ubicadas en Oriente Medio, África, Europa y América del Norte.

A su vez, sugieren que esta actividad podría estar relacionada con Irán, pues la información confidencial capturada de las entidades monitoreadas serían de interés dicho gobierno, con bajo valor financiero.

La campaña emplea algunas tácticas tradicionales, pero se diferencia de otras actividades típicas aplicadas por los iraníes, pues se apoya en el secuestro de DNS en escala; además de usar diferentes técnicas para obtener una posición inicial y dar seguimiento a la exploración, dependiendo del objetivo.

Ante esta situación, la compañía recomienda emplear algunas tácticas para que una organización esté protegida:

  • Agregar autenticación multifactor en el portal de administración de su dominio.
  • Validar los cambios en los registros A y NS.
  • Buscar certificados SSL relacionados con el dominio y revocar todos los certificados malintencionados.
  • Validar las IP de origen en los registros de OWA/Exchange.
  • Realizar una investigación interna para evaluar si los invasores obtuvieron acceso al ambiente.
Contenido relacionado: