Угроза "Sitting Ducks": как атаки на уязвимые домены ставят компании под удар
КибербезопасностьОтчеты

Угроза “Sitting Ducks”: как атаки на уязвимые домены ставят компании под удар

Введение

За последние пять лет злоумышленники скомпрометировали более 70 000 доменов, включая ресурсы известных брендов, некоммерческих организаций и государственных учреждений. Согласно отчету компании Infoblox, еще около 800 000 доменов остаются уязвимыми к атакам, известным как Sitting Ducks. Эти атаки основаны на неправильной конфигурации DNS и могут привести к перенаправлению трафика на вредоносные ресурсы.

Основная часть

1. Механизм атаки Sitting Ducks

Атака Sitting Ducks эксплуатирует слабые места в конфигурации DNS:

  • Суть уязвимости: если авторитетный DNS-провайдер не настроен или использует “ломаные делегации” (lame delegation), злоумышленники могут заявить права на домен и перенаправить его на свои серверы.
  • Простота выполнения: для атаки не требуется кража учетных данных владельца или взлом инфраструктуры регистратора.
2. Распределенные угрозы и ключевые акторы

В отчете выделены группы киберпреступников, использующие уязвимые домены:

  • Vacant Viper: использует домены для спам-кампаний, распространения вредоносного ПО (AsyncRAT, DarkGate) и TDS-операций.
  • Horrid Hawk: распространяет фальшивые инвестиционные схемы через угнанные домены, таргетируя пользователей в 30 языковых регионах.
  • Hasty Hawk: проводит фишинговые атаки, подделывая страницы DHL и сайтов помощи Украине.
3. Масштабы проблемы

Согласно данным Infoblox:

  • 9% уязвимых доменов (около 70 000) уже подверглись захвату.
  • Основные цели атак — забытые или слабо защищенные домены, часто принадлежащие крупным организациям или проектам, связанным с государством.
4. Рекомендации по снижению риска

Для владельцев доменов:

  • Использование двухфакторной аутентификации (MFA) для защиты учетных записей.
  • Мониторинг изменений DNS и настройка оповещений о подозрительной активности.
  • Регулярное обновление контактной информации у регистратора.

Для регистраторов и DNS-провайдеров:

  • Улучшение процессов проверки делегации DNS.
  • Внедрение автоматизированных систем обнаружения аномалий.
  • Информирование клиентов о рисках и необходимых мерах безопасности.
5. Пример атаки

Одним из ярких случаев стала компрометация домена mcpennsylvania.com, зарегистрированного McDonald’s. В июне 2023 года злоумышленники использовали его для перенаправления пользователей на вредоносные ресурсы, эксплуатируя уязвимость DNS Made Easy.


Заключение

Угрозы, связанные с ошибками конфигурации DNS, остаются малоизвестными, несмотря на их масштаб. Однако они полностью предотвратимы при соблюдении мер безопасности. Власти, компании и регистраторы должны объединить усилия для защиты доменов и повышения осведомленности об атаках.

Источники:

  1. Infoblox Research Report: DNS Predators Attack — Sitting Ducks Domains.
  2. Практические рекомендации по DNS-безопасности, предоставленные Infoblox.
admin
Author: admin