Het is kwaadwillenden gelukt om de DNS-instellingen van domeinen van bedrijven, overheidsinstanties en telecomproviders wereldwijd te wijzigen. Op deze manier hebben ze gevoelige data weten te stelen.
Onder andere het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) waarschuwt hiervoor. Het Domain Name System (DNS) is het systeem en netwerkprotocol dat namen van computers vertaalt naar IP-adressen en omgekeerd.
Let’s Encrypt
Het betreft aanvallen waarbij cybercriminelen via gestolen inloggegevens op het beheerderspaneel van de DNS-aanbieder inloggen. Vervolgens passen de kwaadwillenden de records van het domein aan, zoals het IP-adres van de webmailserver. Het verkeer van gebruikers gaat hierdoor eerst naar het IP-adres van de criminelen, die het vervolgens naar het juiste IP-adres doorsturen. De kwaadwillenden maken hierbij gebruik van een via Let’s Encrypt gegenereerd certificaat.
DNS redirector
“Het Let’s Encrypt-certificaat laat de browsers een verbinding zonder certificaatfouten opzetten, aangezien Let’s Encrypt Authority X3 wordt vertrouwd. De verbinding wordt doorgestuurd naar een loadbalancer, die een verbinding met het echte domein opzet. De gebruiker heeft de aanpassingen niet door en merkt mogelijk alleen een kleine vertraging,” stelt Muks Hirani van beveiligingsbedrijf FireEye. Op deze manier stelen criminelen gebruikersnamen en wachtwoorden van gebruikers die bijvoorbeeld op de webmail van hun organisatie inloggen. Ook gebeurt het dat kwaadwillenden de nameserver-records van de domeinnaam wijzigen of een DNS redirector gebruiken: een machine van de criminelen die op DNS-verzoeken reageert.