DNS Hijacking : Une Menace Croissante pour la Cybersécurité

Un récent rapport de l'unité 42 de Palo Alto Networks met en lumière la menace persistante et évolutive du détournement de DNS, une tactique furtive utilisée par les cybercriminels pour rediriger le trafic Internet. En utilisant l'analyse DNS passive, l'entreprise de cybersécurité a fourni des exemples concrets d'attaques récentes, soulignant l'urgence de contrer ce danger caché.

Le détournement de DNS implique la modification des réponses des serveurs DNS ciblés, redirigeant les utilisateurs vers des serveurs contrôlés par des attaquants au lieu des serveurs légitimes. Cette technique peut être réalisée de plusieurs manières, notamment par la prise de contrôle du compte du propriétaire du domaine, l'empoisonnement du cache DNS, les attaques de type "Man-in-the-Middle", ou la modification des fichiers système liés au DNS.

Les attaquants utilisent généralement le détournement de DNS pour rediriger les utilisateurs vers des sites de phishing ou pour les infecter avec des logiciels malveillants. Le rapport de l'unité 42 décrit une méthode pour détecter le détournement de DNS via l'analyse DNS passive, qui repose sur des enregistrements historiques des requêtes DNS.

L'analyse DNS passive permet de retracer les adresses IP vers lesquelles un domaine a dirigé les utilisateurs au fil du temps. Cette méthode, combinée à des données de géolocalisation et à un modèle d'apprentissage automatique, aide à identifier les anomalies pouvant indiquer une opération de détournement de DNS.

Entre mars et septembre 2024, les chercheurs ont traité 29 milliards de nouveaux enregistrements, dont 6 729 ont été signalés comme des détournements de DNS. Les cybercriminels ont utilisé ces détournements pour héberger du contenu de phishing, défigurer des sites Web ou diffuser du contenu illicite.

Des exemples concrets incluent le détournement du site Web d'un parti politique hongrois et la défiguration de domaines d'une entreprise américaine de gestion des services publics. Pour se protéger, les entreprises sont encouragées à déployer l'authentification multi-facteurs, à utiliser des registraires DNS prenant en charge DNSSEC, et à maintenir leur matériel et logiciel à jour.

Source : TechRepublic