Foi-se o tempo em que os hackers seguiam o estereótipo construído pela mídia na imaginação popular: uma pessoa solitária, trancada em um cômodo, mexendo em um computador e com bons conhecimentos de internet. Hoje, já existem verdadeiras gangues de cibercriminosos espalhadas pelo mundo, que de tempos em tempos, realizam ataques à instituições governamentais e empresas privadas.
Um exemplo desse tipo de organização é o Lapsus$ Group, que já reinvindicou a autoria de diversos ataques DNS ao longo de sua existência, inclusive no Brasil. Ano passado, o site do Ministério da Saúde e a plataforma Conecte SUS saíram do ar após um ataque hacker organizado pelo grupo. Ainda em 2021, atacaram a empresa de autenticação Okta, ocasionando uma violação que expôs dados sensíveis de 2,5% dos clientes da empresa. O grupo também assumiu a responsabilidade por outros ataques que repercutiram na mídia, como às Americanas e ao Submarino.
Helder Ferrão, gerente de Marketing de Indústrias da Akamai Technologies para América Latina, explica que os ataques DNS (Domain Name System ou Sistema de Nomes de Domínio) tem como objetivo comprometer o sistema de nomes de domínio na Internet. DNS é a sigla para “Domain Name System” ou “Sistema de Nomes de Domínio” em português. Ele é responsável por traduzir os nomes de domínio em endereços IP que os computadores usam para se comunicar na internet. “Em outras palavras, o DNS é como um catálogo telefônico que traduz nomes de domínio em endereços IP. Quando um usuário digita o endereço de um domínio em seu navegador, o DNS é responsável por localizar o endereço IP correspondente e direcionar o usuário para página desejada”, define o executivo.
Os ataques de DNS são bastante populares no universo dos crimes cibernéticos. Conforme define a Cloudflare, um ataque de inundação DNS é um ataque DDoS que visa inundar e sobrecarregar um servidor de DNS. O 2022 Global Threat Analysis Report da Radware informa que estes ataques cresceram 150% em todo o mundo, em 2022, sendo o setor financeiro o mais afetado (53%), seguido pelo setor de TI (20%) e de saúde (11%). Além disso, o número desses ataques nas Américas teve um crescimento bem mais rápido: 212% em relação a 2021.
Estatísticas de ataques DDoS por setor
Analisando o tráfego global de DNS, a Akamai Technologies identificou que cerca de 16% das organizações entrevistadas detectaram comunicação com domínios associados a servidores de comando e controle (conhecido como C2), indicando violações de rede durante o ano passado. Helder Ferrão comenta que a recorrência dos ciberataques de DNS ocorre pelo volume e risco que causa, uma vez que todo funcionamento da internet é baseado em números de IP, ou seja, necessitam de um DNS para transformar o que foi digitado em endereços IPs. “Isto ajuda a entender a grande popularidade dessa forma de ataque”, destaca.
O estudo feito pela empresa, intitulado Rota de ataque: análise de tráfego de DNS mal-intencionado, também aponta que os ataques ocorrem de várias formas e causam consequências diversas.
Alguns indicativos mais comuns de um ataque DDoS ou de força bruta, como são conhecidos, são:
- a queda do DNS, inviabilizando as conexões de uma organização à internet
- o redirecionamento de domínios para enganar usuários e roubar dados confidenciais
- instabilidade ou interrupções operacionais dos sites atacados por grandes períodos de tempo.
Os 5 tipos de ataque DNS mais comuns
“Os ataques podem ser voltados a diferentes componentes do sistema DNS, incluindo servidores, registradores de domínio, resolvers e até mesmo a rede propriamente dita. Portanto, não há única forma ou alvo ao realizar um ataque desse tipo, e isso torna o seu combate complexo, tanto para instituições públicas como organizações privadas”, avalia Ferrão. Algumas das modalidades de ataque DNS mais comuns são:
- Sequestro de DNS (DNS Hijacking)
Ao tentar entrar em um site legítimo, o usuário é redirecionado para um endereço falso — cujas informações de registro do domínio foram definidas em um DNS falso, para apontar para um servidor do invasor. Muito usado por malwares em computadores e, em caso de redes domésticas, diretamente nos roteadores, apresenta um site muito parecido com o real, mas que é controlado pelo golpista com o intuito de conseguir logins, senhas e outros dados.
Esse ataque pode causar grandes prejuízos às vítimas, especialmente se elas estiverem realizando login em um banco, conta de e-mail ou outro site que peça a inserção de dados sensíveis. Os cibercriminosos serão capazes de visualizar tudo o que é digitado na página falsa, facilitando o roubo de informações confidenciais.
- Amplificação de DNS
No fundo, a amplificação de DNS é um ataque do tipo Distributed Denial of Service (DDoS). Em tal situação, o atacante se infiltra no DNS e, de lá, envia requisições para os servidores usando um IP forjado, em geral o da própria vítima. Posteriormente, os servidores automaticamente começam a responder diretamente para o falso cliente e congestionam a rede do alvo do ataque. Em larga escala, um ataque desse tipo é capaz de derrubar servidores, causando indisponibilidade ou intermitência, que podem ser permanentes, temporárias ou indefinidas. afetam diretamente os links de acesso a internet de uma empresa, causando congestionamento em sua rede.
Além do mais, fora a indisponibilidade do serviço, a queda da rede também pode servir como uma espécie de ataque primário, deixando o caminho livre para outras tentativas de invasão. Já foi observado que, em algumas ocasiões, os próprios cibercriminosos realizam transações entre si, vendendo o acesso às redes para outros criminosos.
- DNS Poisoning (Envenenamento de cache)
Nesse ataque, um código malicioso é usado para interceptar e redirecionar requisições feitas pelo usuário. Posteriormente, as solicitações são enviadas para um endereço controlado pelo cibercriminoso e a vítima é estimulada a informar seus dados pessoais, como número de cartões de crédito, dados de acesso, documentos pessoais, entre outros.
As consequências do DNS Poisoning podem ser grandes. Por exemplo, caso o usuário tente acessar a página do seu banco, é possível que os dados da página estejam no cache (espécie de memória temporária que otimiza a navegação e a torna mais ágil). Dessa forma, dado que as informações da página serão as mesmas, será difícil que o usuário perceba o golpe dos cibercriminosos.
- DNS Tunneling (Tunelamento de DNS)
É uma forma de ataque que explora o servidor DNS para ocultar dados em pedidos e respostas e deixar de lado o firewall. Os dados camuflados são escondidos em mensagens DNS e contêm desde senhas pessoais até informações que o atacante possa julgar úteis, além de criar um canal de tunelamento que poder servir como uma forma de o atacante controlar servidores e aplicações. Através dessa prática maliciosa, o objetivo dos atacantes é conseguir os dados internos de uma rede e, posteriormente, recolher informações e/ou inserir um novo código no malware existente. O tunelamento de DNS também é usado para burlar portais cativos e, por exemplo, não pagar para ter acesso a conexões Wi-Fi.
- Ghost domain (domínio-fantasma)
Nessa tática, diversos domínios-fantasma são configurados para não retornar nenhuma resposta e, consequentemente, o DNS se vê na obrigação de resolvê-los. Dado que eles não respondem ou respondem de maneira muita lenta, o servidor gasta recursos temporais e computacionais, enquanto espera pelas respostas. A consequência disso é o prejuízo do desempenho, com diminuição da performance ao longo do ataque e falha ao apurar outras consultas pendentes.
Segundo a gerente de produtos Radware na CLM, Juliana de Barros, esse tipo de ciberataque tem origem no phishing, que explora emoções humanas, induzindo desavisados a clicar em links maliciosos e assim transformam computadores em escravos, fazendo parte de um verdadeiro exército de “zumbis” com mais e mais equipamentos escravizados ao redor do mundo, que juntos derrubam sites de governos e organizações.
“Novos modelos de phishing, agora enviados por SMS, chamados de smishing, estão cada vez mais sofisticados, inclusive com o uso de 0800. Enquanto as pessoas continuarem a cair nesses golpes, os ataques de negação de serviço vão continuar a crescer exponencialmente”, adverte a executiva.
O relatório da Radware aponta não apenas um aumento dos ataques DDoS em termos de números absolutos como uma redefinição de seus perfis, com maior abrangência, frequência e com aumento em termos de volume, potência, duração e complexidade.
Como se proteger dos ataques DNS
Apesar de existirem em diversas formas e atacarem em muitas frentes, é possível se prevenir contra os ataques DNS e até se preparar para combatê-los, caso aconteçam. Em linhas gerais, as organizações precisam ter em mente que o trabalho de proteção cibernética, nesses casos, se dá a partir da proteção dos componentes do sistema DNS. Partindo disso, pode-se adotar as melhores práticas de cibersegurança.
Helder Ferrão detalha algumas medidas que podem ser implementadas pelas empresas. “O uso de firewalls para bloquear o tráfego malicioso para servidores DNS e outras redes é interessante para impedir que os atacantes acessem informações sensíveis. Também, atualizar regularmente os softwares do sistema DNS (especialmente patches de segurança) e monitorar sua rede é recomendado para detectar atividades suspeitas, alertar rapidamente para potenciais ataques e garantir que as vulnerabilidades existentes sejam corrigidas.”
É perceptível como muitas táticas de segurança cibernética para lidar com os ataques DNS partem da ideia de prevencão. “Nenhuma organização está isenta de ser vítima de um ciberataque dessa modalidade, mas todas podem e devem se preparar para evitar esse cenário e, caso ele se concretize, proceder da melhor maneira possível. A adoção das soluções de defesa robustas e amplamente validadas pelo mercado e infraestrutura de TI de qualidade, somada a comportamentos responsáveis do ponto de vista de monitoração e prontidão, costuma ser uma equação de sucesso”, finaliza Helder Ferrão.
