.nl niet getroffen door wereldwijde kapingscampagne

In samenwerking met het NCSC-NL hebben we onderzocht of domeinnamen binnen .nl slachtoffer zijn geworden van een onlangs aan het licht gekomen wereldwijde campagne die erop was gericht om domeinnamen te kapen, vermoedelijk ten behoeve van een staatsoverheid. Hoewel geen van de domeinnamen in de zone lijkt te zijn getroffen, gaan we desalniettemin onze DNS-bewakingsvoorzieningen verder uitbreiden, zodat we in de toekomst aanwijzingen dat dergelijke campagnes binnen .nl actief zijn proactief kunnen signaleren. Daarnaast blijven we erop hameren hoe belangrijk het is om de ‘best practices’ voor veilige domeinnaamregistratie te volgen.

Domeinkapingen

Een domeinkaping is het aanpassen van de registratie van een domeinnaam zonder toestemming van de oorspronkelijke registrant en houdt in dat iemand die daartoe niet bevoegd is, wijzigingen aanbrengt in de records van een domeinnaam in het domeinnaamsysteem (DNS) waardoor de naam wordt vertaald naar een ander IP-adres dan door de registrant was ingesteld. Een kaper zou bijvoorbeeld de www-mapping voor het domein example.nl in het DNS kunnen aanpassen, Hierdoor versturen bezoekers die inloggen op www.example.nl hun verkeer ongemerkt via een tussenliggende server die door de kaper wordt gebruikt om hun gebruikersnamen en wachtwoorden te registreren. Ook zou de kaper de mail-instellingen van example.nl in het DNS kunnen aanpassen, zodat alle e-mails aan wie_dan_ook@example.nl terechtkomen bij de tussenliggende server en daar worden opgeslagen.

Domeinkapingen kunnen zo zeer nadelige gevolgen hebben voor de veiligheid en privacy van zowel gebruikers als registranten en leiden tot grote reputatie- en financiële schade. 

Gehackte accounts

Een van de manieren waarop een kwaadwillende een domeinnaam kan kapen, is door het account te hacken waarmee registranten via de registrar hun domeinnaaminstellingen beheren, bijvoorbeeld door gebruik te maken van gebruikersnamen en wachtwoorden die zijn verkregen via andere gecompromitteerde sites. Daarnaast kan gebruik worden gemaakt van meer geavanceerde technieken, zoals spear phishing. Dit is een vorm van phishing die specifiek gericht is op het personeel van een registry, met als doel de gegevens van meer hoogwaardige domeinnamen te verkrijgen.

Zodra de kaper erin is geslaagd om het account te hacken, worden via het beheerderspaneel van de registrar wijzigingen aangebracht in de DNS-records van example.nl. Zo kunnen bijvoorbeeld de nameservers van het domein worden aangepast, waardoor bezoekers van www.example.nl worden omgeleid naar een kwaadaardige site via nameservers die onder beheer van de kaper staan.

De Security and Stability Advisory Committee (SSAC) van ICANN beschikt over een overzicht van registrantenaccounts die in het verleden zijn gehackt en de manieren waarop daarbij te werk werd gegaan. 

Wereldwijde campagne

Securitybedrijf FireEye berichtte onlangs dat het een campagne op het spoor was gekomen die erop was gericht om domeinen over de hele wereld te kapen en dat “tientallen domeinen van overheden en internetinfrastructuur- en telecomproviders in het Midden-Oosten, Noord-Afrika, Europa en Noord-Amerika” hieraan ten prooi waren gevallen. Er waren aanwijzingen dat de campagne het werk was van een staatsoverheid.

FireEye publiceerde ook de technieken die de kapers hadden gebruikt, waaronder het aanpassen van de IP-adressen van een domeinnaam (DNS A-records). Hoewel het bedrijf niet onthulde hoe de informatie was verkregen, waren de bevindingen voldoende aanleiding voor het Nationaal Cyber Security Centrum (NCSC-NL) om een waarschuwing af te geven. Hetzelfde gold voor de nationale CERT's van de VS en het Verenigd Koninkrijk

Analyse DNS-records .nl

Naar aanleiding van deze berichten heeft het team van SIDN Labs de .nl-zone onderzocht op nameserver-wijzigingen, waarbij in eerste instantie 623 .nl-domeinnamen verdeeld over 43 registrars werden gevonden die overeenkomsten vertoonden met domeinen die door de campagne waren getroffen.

We hebben deze namen doorgegeven aan het NCSC-NL, waar ze met behulp van aanvullende (niet nader genoemde) datasets nader zijn geanalyseerd. Op basis van deze analyse heeft het NCSC-NL te kennen gegeven dat het onwaarschijnlijk was dat de namen daadwerkelijk waren gekaapt. 

Geleerde lessen

Hoewel dat goed nieuws is, hebben we ook geleerd dat we - vooral in samenwerking met het NCSC-NL, onze registrars en de onderzoekscommunity - onze DNS-bewaking moeten uitbreiden met een voorziening voor proactieve signalering van domeinkapingen om zo de veiligheid van de gebruikers en registranten van .nl te beschermen.

Daarnaast zijn we opnieuw doordrongen van het feit dat de beveiliging van domeinregistratiegegevens cruciaal blijft voor de wereldwijde veiligheid van het internet en dat het daarom noodzakelijk is dat registry's, registrars en DNS-operators zich houden aan de ‘best practices’, zoals tweefactorauthenticatie (2FA) voor het inloggen bij beheerderspanelen, vergrendelingstermijnen voor hoogwaardige domeinnamen, met zorg opgestelde domeinbeheersrechten en personeel dat erop bedacht is dat ze het doelwit kunnen zijn van phishingaanvallen. Wijzelf en onze registrars hanteren meerdere van deze technieken voor de bescherming van .nl-domeinregistraties, zoals 2FA voor de portalen die onze registrars ter beschikking stellen aan registranten en de registry lock die we bij SIDN aanbieden.

Persoonlijk raad ik iedereen die in onze sector werkzaam is aan om het advies van de SSAC met betrekking tot deze kwestie door te nemen en dan met name de praktische checklist in Section 6.

Reacties

Cristian_Hesselman

Cristian Hesselman

Directeur SIDN Labs

+31 6 25 07 87 33

cristian.hesselman@sidn.nl

  • donderdag 11 april 2019

    Nieuws

    Retailmerken populair als domeinnaam van phishingwebsites

    Thumb-Albert-Heijn-winkelmandje

    Analyse Nederlandse retailmerken: voeding en genotsmiddelen bovengemiddeld vaak slachtoffer

    Lees meer
  • maandag 8 oktober 2018

    Nieuws

    Kom op 29 november naar SIDN Connect

    Thumb-SIDN-Connect-KNVB

    Bekijk het volledige programma

    Lees meer
  • maandag 26 februari 2018

    Nieuws

    Juridisch loket voor registrars geopend

    Thumb-legal-advice

    Loket biedt hulp bij vragen over privacy- en ICT-recht

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.