De Amerikaanse autoriteiten maken zich zorgen over aanvallers die de dns-instellingen van domeinen aanpassen om zo gevoelige gegevens te stelen. Dat heeft Christopher Krebs laten weten, directeur van het Cybersecurity and Infrastructure Security Agency (CISA) dat onderdeel van het ministerie van Homeland Security is.

Afgelopen dinsdag kwam het CISA voor het eerst in het bestaan van de organisatie met een "Emergency Directive" waarin federale overheidsinstanties werden opgeroepen om hun dns-instellingen te controleren. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid kwam gisteren met een soortgelijke waarschuwing waarin organisaties werden gewezen op het risico van dns-manipulatie.

De waarschuwingen volgen na berichtgeving van securitybedrijf FireEye dat aanvallers met gestolen inloggegevens inloggen bij dns-providers en vervolgens de dns-instellingen van domeinen wijzigen. De aanvallers hebben het voorzien op overheidsinstanties en bedrijven wereldwijd. Door het aanpassen van de instellingen kunnen de aanvallers hun eigen ip-adres voor web- en mailservers opgeven, waardoor het verkeer van een organisatie eerst langs de aanvallers gaat. Die kunnen zo gevoelige gegevens buitmaken.

Krebs stelt dat de gevolgen voor de Amerikaanse overheid worden bekeken, maar dat er inmiddels genoeg bekend is om bezorgd te zijn. "We weten dat een actieve aanvaller het op overheidsinstanties heeft voorzien en gebruikmaakt van technieken die niet echt innovatief zijn", aldus de CISA-directeur. Hij merkt daarbij op dat veel organisaties niet op dergelijke aanvallen monitoren of maatregelen hebben genomen om ze te voorkomen. Aangezien het CISA verantwoordelijk is voor de bescherming van federale overheidssystemen is daarop besloten het bevel af te geven.