Home Concientización El DHS difundió una directiva de emergencia para prevenir ataques de secuestro...

El DHS difundió una directiva de emergencia para prevenir ataques de secuestro de DNS

El Department of Homeland Security (DHS) ha emitido una notificación de una orden de emergencia CISA, instando a las agencias federales a mejorar la seguridad de los dominios administrados por el gobierno (por ejemplo,.gov) para evitar los ataques de secuestro de DNS.

En un plazo de 10 días hábiles, las agencias tendrán que cambiar las contraseñas de su cuenta DNS y habilitar la autenticación multifactorial cuando esté disponible, pero CISA advierte de los riesgos para el MFA basado en SMS.

El ministerio, también instruyó a las dependencias federales a monitorear los registros de Transparencia de Certificados para detectar cualquier abuso relacionado con los certificados emitidos de manera fraudulenta.

Las agencias deberán presentar un informe de situación antes del 25 de enero y un informe final de todas las acciones realizadas de acuerdo con la directiva antes del 5 de febrero.

“A partir del 6 de febrero de 2019, el Director de CISA contratará a los Oficiales Principales de Información (CIO) y/o a los Oficiales Superiores de las Agencias para la Administración de Riesgos (SAORM) de las agencias que no hayan completado las acciones requeridas, según corresponda, para asegurar que sus sistemas federales de información más críticos estén adecuadamente protegidos”, continúa CISA.

“Para el 8 de febrero de 2019, CISA entregará un informe al Secretario de Seguridad Nacional y al Director de la Oficina de Administración y Presupuesto (OMB) identificando el estatus de la agencia y los asuntos pendientes”.

La directiva de emergencia probablemente está relacionada con una campaña recientemente revelada de ataques de secuestro de DNS descubiertos por FireEye.

Los investigadores de FireEye rastrearon el acceso desde las IP iraníes a las máquinas utilizadas para interceptar, registrar y reenviar el tráfico de la red. Los mismos PI estaban anteriormente asociados con ataques cibernéticos llevados a cabo por ciberespacios iraníes.

Los atacantes no están motivados económicamente y se dirigieron a varios gobiernos de Oriente Medio cuyos datos serían de interés para Irán.

Es interesante observar que la compañía de ciberseguridad, confirmó que esta campaña es diferente de otras operaciones llevadas a cabo por grupos iraníes de APT debido al uso de secuestro de DNS a escala. Los atacantes utilizaron tres formas diferentes de manipular los registros DNS para permitir que las víctimas se comprometieran.

Después del informe de FireEye, el US-CERT publicó una alerta el 10 de enero para advertir a las organizaciones de las campañas de secuestro de DNS.