Détournement du registre de domaine LK du Sri Lanka (Google.lk)

Au matin du 6 février 2021, juste après le week-end de la fête de l'indépendance du Sri Lanka, les visiteurs de Google.lk se sont retrouvés redirigés vers une page de propagande politique. Le détournement ne s'est pas arrêté à Google : une dizaine de domaines .lk de premier plan, dont Oracle.lk, ont été redirigés vers du contenu contrôlé par les attaquants grâce à une manipulation au niveau du registre national de domaine.

Ce qui s'est passé

Le LK Domain Registry est l'autorité qui administre le domaine de premier niveau .lk du Sri Lanka. Les attaquants ont modifié les enregistrements DNS d'un ensemble de domaines majeurs afin que le trafic se résolve vers une nouvelle adresse IP diffusant leur message — une redirection au niveau du registre qui a même affecté des domaines que le registre ne contrôlait pas directement, comme Google.lk.

La page redirigée mettait en avant des revendications politiques sri-lankaises contemporaines, notamment le sort des travailleurs des plantations et de la communauté tamoule, les prisonniers politiques tamouls et les « crémations forcées » de victimes de la COVID-19 issues des minorités — présentant l'opération comme du hacktivisme plutôt que comme un acte criminel à motivation financière.

Une enquête ultérieure a révélé la cause racine probable : des identifiants administrateur du registre circulaient sur le dark web depuis 2012 et seraient restés valides jusqu'en septembre 2020, offrant aux attaquants une voie d'accès directe.

Conséquences

Environ dix domaines .lk majeurs ont été redirigés, au premier rang desquels Google.lk et Oracle.lk.
L'équipe du registre a détecté les modifications non autorisées et les a annulées, rétablissant une résolution normale en environ 90 minutes.
Aucun vol de données n'a été signalé ; les dommages étaient réputationnels et symboliques — démontrant que l'ensemble du TLD d'une nation pouvait être subverti à partir d'un seul jeu d'identifiants faibles.

Réponse et suites

Le LK Domain Registry a annulé les entrées DNS malveillantes, et le CERT du Sri Lanka ainsi que l'Information Technology Society of Sri Lanka (ITSSL) ont ouvert des enquêtes. La découverte des identifiants exposés a suscité des appels urgents à imposer une hygiène des identifiants et une authentification multifacteur sur l'infrastructure critique du registre. Une nouvelle vague de défigurations en mai 2021, revendiquée par une « Tamil Eelam Cyber Force », a visé des ministères et des sites d'ambassades, soulignant une campagne hacktiviste soutenue contre les actifs numériques sri-lankais.

Pourquoi c'est important

Détourner un registre national de domaine figure parmi les attaques au plus fort effet de levier possible : contrôlez le registre et vous contrôlez la façon dont se résolvent les sites les plus visités d'un pays entier. Que cela ait été réalisé au moyen d'identifiants divulgués depuis une décennie — et non d'une faille inédite — en a fait une leçon brutale sur le coût d'une gestion négligée des identifiants à la couche la plus critique de l'infrastructure Internet.

Chronologie

6 février 2021

Au matin suivant le week-end de la fête de l'indépendance, le trafic vers Google.lk et une dizaine d'autres domaines .lk est redirigé vers une page de propagande politique.

6 février 2021

Le LK Domain Registry détecte les modifications DNS non autorisées et les annule, rétablissant les domaines en environ 90 minutes.

1 février 2021

Le CERT du Sri Lanka et l'Information Technology Society of Sri Lanka (ITSSL) lancent des enquêtes sur le détournement.

1 février 2021

Les enquêteurs découvrent que des identifiants administrateur du registre étaient exposés sur le dark web depuis 2012 et restaient valides jusqu'en septembre 2020 — le vecteur d'attaque probable.

18 mai 2021

Une seconde vague d'attaques défigure d'autres sites gouvernementaux et d'ambassades sri-lankais ; un groupe se nommant « Tamil Eelam Cyber Force » est cité.

Sources

en.wikipedia.orghttps://en.wikipedia.org/wiki/2021_cyberattacks_on_Sri_Lanka

arteculate.asiahttps://arteculate.asia/sri-lanka-lk-domain-registry-breach/

adaderana.lkhttps://adaderana.lk/news/71342/several-lk-domains-under-cyber-attack

social.cyware.comhttps://social.cyware.com/news/websites-of-at-least-eleven-institutions-in-sri-lanka-hit-by-cyber-attacks-3d19a71f

Incidents liés

Faille zero-dayRésolu9 décembre 2021

Log4Shell (Apache Log4j CVE-2021-44228)

Une faille d'exécution de code à distance trivialement exploitable dans Apache Log4j 2, l'omniprésente bibliothèque de journalisation Java, a obtenu le score maximal CVSS 10.0 et exposé des centaines de millions d'appareils et d'applications dans le monde à une prise de contrôle instantanée via une simple chaîne de journalisation forgée.

Victim: Mondial (utilisateurs d'Apache Log4j dans le monde entier)

Fuite de donnéesRésolu3 novembre 2021

Fuite de données Robinhood (2021)

En novembre 2021, la plateforme de trading en ligne Robinhood a subi une fuite de données après qu'un agent du service client a été victime d'ingénierie sociale. L'incident a exposé plus de 5 millions d'adresses e-mail de clients et 2 millions de noms de clients.

Victim: Robinhood
Records: 5.0M

Fuite de donnéesRésolu29 octobre 2021

Compromission d'Atraf / Cyberserve par Black Shadow

Le groupe Black Shadow, lié à l'Iran, a compromis l'hébergeur israélien Cyberserve, puis divulgué l'intégralité de la base de l'application de rencontres LGBTQ Atraf — y compris la localisation des utilisateurs et leur statut VIH — après le non-paiement d'une rançon d'un million de dollars.

Victim: Cyberserve / Atraf
Records: 1.0M

Fuite de donnéesRésolu6 octobre 2021

Fuite du code source et des rémunérations des créateurs de Twitch

Une mauvaise configuration de serveur a exposé l'intégralité du dépôt Git de Twitch à un attaquant anonyme, qui a diffusé 125 Go de données — le code source complet avec l'historique des commits, les outils internes et trois ans de chiffres de rémunération des créateurs — sous forme de torrent sur 4chan.

Victim: Twitch (Amazon)