DNSpionage gedemystificeerd

Voor de gemiddelde consument lijkt het intrigerend op papier of op het witte doek, maar wanneer spionage werkelijkheid wordt en de identiteitsgegevens van miljoenen mensen beïnvloedt, verandert de perceptie aanzienlijk.

IT blijkt dat de realiteit soms interessanter (en beangstigender) is dan fictie. Als het gaat om een nieuwe variatie op spionage, hoef je alleen maar te kijken naar wat er onlangs in het Midden-Oosten is gebeurd met de introductie van DNSpionage.

Wat is DNSpionage?

Net wanneer u dacht dat u van elke nieuwe variant van cyberaanvallen had gehoord, wordt u geconfronteerd met een nieuwe variant. De nieuwste variant, DNSpionage genaamd, heeft het landschap betreden en werpt nu al vruchten af voor cybercriminelen.

Een artikel van KrebsOnSecurity met de titel "A Deep Dive on the Recent Widespread DNS Hijacking Attacks" legt uit wat DNSpionage is:

"Het DNS-gedeelte van die naam verwijst naar het wereldwijde 'Domain Name System', dat als een soort telefoonboek voor het internet fungeert door mensvriendelijke websitenamen (voorbeeld.com) te vertalen in numerieke internetadressen die voor computers gemakkelijker te beheren zijn."

Door een DNS-server te kapen, kan kwaadaardige code e-mails en andere aanmeldingsgegevens stelen door het verkeer om te leiden naar een internetadres dat door de cybercriminelen wordt gecontroleerd.

DNSpionage in actie

Helaas is DNSpionage niet alleen een academische of intellectuele discussie over wat er mogelijk zou kunnen gebeuren. Het werd eind 2018 geïdentificeerd en is nog steeds een kracht om rekening mee te houden. Een Dark Reading artikel getiteld "New Hacker Group Behind 'DNSpionage' Attacks in Middle East" beschrijft hoe deze malware wordt gedistribueerd en wat het doet op basis van de recente aanvallen in het Midden-Oosten:

"DNSpionage-malware wordt verspreid via Microsoft Office-documenten die worden gehost op twee schadelijke websites die zijn ontworpen om eruit te zien als de vacaturepagina's van twee legitieme bedrijven-Wipro en Suncor Energy. Het gehoste document is een kopie van een legitiem bestand op de site van Suncor

De kwaadaardige documenten bevatten macro's die, wanneer ze worden uitgevoerd, DNSpionage op het doelsysteem laten vallen. De malware is een Remote Access Trojan die HTTP en DNS communicatie met de aanvallers ondersteunt en wordt uitgevoerd wanneer het Microsoft Office document wordt gesloten. Het lijkt ontworpen om gegevens van het gecompromitteerde systeem te extraheren en naar het commando- en controlesysteem te sturen."

We hebben onlangs geschreven over hoe hackers het gemunt hebben op hele landen, en dit is nog een voorbeeld van hoe je op zeer grote schaal schade kunt aanrichten.

Wees geen slachtoffer

Om uw organisatie te beschermen, hebt u een cyberbeveiligingsstrategie nodig die rekening houdt met het identificeren en elimineren van uitvoerbare code die verborgen zit in wat onschuldige inhoud zou moeten zijn.

Alleen oplossingen kiezen die elke regel code evalueren, waardoor goed gedocumenteerde ontwijkingstechnieken ondoeltreffend worden, terwijl ze agnostisch zijn ten aanzien van het type bestand, het type client-side toepassing, of het client-besturingssysteem dat binnen de organisatie wordt gebruikt, zijn de superieure criteria voor de keuze van technologie.

Geselecteerde oplossingen moeten bescherming bieden ongeacht het besturingssysteem, de CPU-architectuur en de functie (client, server) van de beoogde machine.