Los atacantes desarrollan un punto débil para la infraestructura de DNS

Si bien los servidores DNS han estado durante mucho tiempo bajo el radar de los atacantes que buscan información corporativa y privada, los ataques recientes indican que la situación se está incrementando.

Una de las razones por las cuales los servicios DNS tienen cierta susceptibilidad a ataques, es el protocolo de la capa de transporte UDP. Recordemos que es un protocolo de transmisión conectionless. Esto último significa que no está orientada a la conexión, al protocolo UDP no le importa que los datos lleguen a destino por completo, igualmente continuará transmitiendo todo lo que tiene en cola. Digamos que los paquetes de datos están a su suerte, puede ser que lleguen a destino con éxito o sufran de algún inconveniente en el medio.

Ataques recientes a servidores DNS

  • Más de una docena de ISP en Europa , incluidos EDP, FDN, Bouygues Télécom, SFR, K-net, Delta, Caiway, Online.nl, Signet, FreedomNet y Tweak.nl. informó de ataques DDoS que afectaron su infraestructura de DNS.
  • Más de 400 dominios controlados por el gobierno del Reino Unido se encontraron en listas negras basadas en DNS, lo que afecta las comunicaciones por correo electrónico.  
  • En las últimas semanas de agosto, los piratas informáticos lanzaron ataques DDoS contra algunas de las organizaciones financieras más grandes, dirigidos a sus servidores DNS, infraestructura backend y puntos finales API. La lista de víctimas incluye New Zealand Exchange (NZX), MoneyGram, Worldpay, PayPal, YesBank India, Braintree y Venmo.
  • Se vio a los atacantes abusando del DNS de Google a través de HTTPS para descargar malware. Si bien el DNS de Google ayudó a resolver un dominio sospechoso, la respuesta devuelta a través del DNS de Google llevó la carga maliciosa en forma codificada.

Varias formas de lanzar ataques DNS

Los ciberdelincuentes apuntan a los enrutadores y reconfiguran su configuración de DNS, dirigiendo a las víctimas a sitios web maliciosos en lugar de las páginas que pretenden visitar.

Una de las técnicas implica el uso de botnets para apuntar a servidores con volúmenes masivos de solicitudes de DNS, inundando los servidores con solicitudes maliciosas y bloqueando las legítimas.

Los atacantes a menudo abusan del DNS para invadir una red privada, evitando la política del mismo origen, un mecanismo que permite que una página web acceda a datos de otra página solo si ambos tienen nombres de host, números de puerto y números de identificación similares.

Impacto de los ataques DNS

Los ataques DNS provocan un gran daño a las diversas organizaciones que son víctimas de los mismos. Las sumas de dinero que son producto de las pérdidas llegan fácilmente a los millones de dólares. Lo más preocupante es que los ataques DNS tienden a ser cada vez más sofisticados y específicos en relación al modus operandi.

Las amenazas de tipo Insider se encuentran a la orden del día. Las organizaciones, aunque parezcan ser menos susceptibles a ataques DNS, deben proteger su infraestructura de los insiders mediante las herramientas de Inteligencia de Amenazas cuya oferta es afortunadamente amplia. Por otro lado, las herramientas de seguridad para gestión de servicios web también cuenta con muchas opciones.

Los ataques DNS, aunque ya llevan muchos años llevándose a cabo, no paran de crecer en cuanto a cantidad de eventos que se dan cada año. Aunque es probable que tu organización nunca sea víctima de alguno de los ataques citados, la protección de la infraestructura de red no es una opción.