Existe uma campanha global de roubo do DNS em vários países, cujo alerta foi lançado pelo NCSC (National Cyber Security Center). O objetivo desta campanha é explorar o DNS e, consequentemente, deitar abaixo websites e roubar informação sensível.

Este tipo de ataques faz alterações não autorizadas às entradas de DNS de um ficheiro de zona num servidor de DNS autoritário ou a modificação de configurações do domínio em relação ao registador desse mesmo domínio.

A alteração não autorizada do mesmo permite que o atacante redireccione o tráfego e comprometa o DNS da vítima de forma a obter dados. Devido a esta alteração, a empresa ou organização perde total controlo do domínio e os atacantes conseguem alterar os detalhes da soberania sobre o domínio em questão, algo que depois é muito difícil de recuperar para a empresa.

Riscos do roubo de DNS:

- Geração de registos maliciosos de DNS

- Criação de sites de phishing associados à organização e obtenção de informação sensível

- Roubo do certificado SSL: usado para fornecer uma informação mais legítima acerca da organização em questão

- Interceção de dados da organização: o atacante depois de obter a soberania sobre os registos de DNS da organização, como as entradas "A" e "CNAME", consegue redireccionar o tráfego para o seu próprio IP (processo designado por proxying transparente)

Aumentar a Segurança do Registador

- Fazer auditorias regulares ao painel de controlo do registador

- Manter-se atualizado com quatro pontos de contacto, isto é, contactos de registo, técnicos, administrativos e de conta sempre que a empresa precisa de fazer alguma alteração

- Não usar endereços de email individuais para nenhum dos contactos de domínio e fazer formações regulares aos colaboradores sobre como estarem preparados para ataques de phishing.

- Monitorizar constantemente operações como transferências de domínio, mudanças aos dados de WHOIS e mudanças ao NS (Servidor de Nome)

Segurança do NS

- Implementar um sistema de controlo forte para os processos para gerir qualquer tipo de alterações ao ficheiro de zona que se irá responsabilizar pelo backup dos registos de DNS.

- Aplicar políticas de restrição aos colaboradores no que toca ao acesso aos ficheiros de zona de DNS ou serviços de DNS associados ao domínio

- Fazer auditorias regulares e monitorizar as entradas relacionadas com os ficheiros de zona

- Usar ferramentas de monitorização para a criação de certificados SSL como o crt.sh - Ativar o DNSSEC, que fornece um patamar de segurança adicional ao sistema de DNS e protege os clientes de qualquer tipo de disfarce do DNS e verifica a sua autenticidade

Fonte: https://www.us-cert.gov/ncas/current-activity/2019/07/12/ncsc-releases-advisory-ongoing-dns-hijacking-campaign