Угроза “Sitting Ducks”: как атаки на уязвимые домены ставят компании под удар

Введение

За последние пять лет злоумышленники скомпрометировали более 70 000 доменов, включая ресурсы известных брендов, некоммерческих организаций и государственных учреждений. Согласно отчету компании Infoblox, еще около 800 000 доменов остаются уязвимыми к атакам, известным как Sitting Ducks. Эти атаки основаны на неправильной конфигурации DNS и могут привести к перенаправлению трафика на вредоносные ресурсы.

Основная часть

1. Механизм атаки Sitting Ducks

Атака Sitting Ducks эксплуатирует слабые места в конфигурации DNS:

• Суть уязвимости: если авторитетный DNS-провайдер не настроен или использует “ломаные делегации” (lame delegation), злоумышленники могут заявить права на домен и перенаправить его на свои серверы.
• Простота выполнения: для атаки не требуется кража учетных данных владельца или взлом инфраструктуры регистратора.

2. Распределенные угрозы и ключевые акторы

В отчете выделены группы киберпреступников, использующие уязвимые домены:

• Vacant Viper: использует домены для спам-кампаний, распространения вредоносного ПО (AsyncRAT, DarkGate) и TDS-операций.
• Horrid Hawk: распространяет фальшивые инвестиционные схемы через угнанные домены, таргетируя пользователей в 30 языковых регионах.
• Hasty Hawk: проводит фишинговые атаки, подделывая страницы DHL и сайтов помощи Украине.

3. Масштабы проблемы

Согласно данным Infoblox:

• 9% уязвимых доменов (около 70 000) уже подверглись захвату.
• Основные цели атак — забытые или слабо защищенные домены, часто принадлежащие крупным организациям или проектам, связанным с государством.

4. Рекомендации по снижению риска

Для владельцев доменов:

• Использование двухфакторной аутентификации (MFA) для защиты учетных записей.
• Мониторинг изменений DNS и настройка оповещений о подозрительной активности.
• Регулярное обновление контактной информации у регистратора.

Для регистраторов и DNS-провайдеров:

• Улучшение процессов проверки делегации DNS.
• Внедрение автоматизированных систем обнаружения аномалий.
• Информирование клиентов о рисках и необходимых мерах безопасности.

5. Пример атаки

Одним из ярких случаев стала компрометация домена mcpennsylvania.com, зарегистрированного McDonald’s. В июне 2023 года злоумышленники использовали его для перенаправления пользователей на вредоносные ресурсы, эксплуатируя уязвимость DNS Made Easy.

Заключение

Угрозы, связанные с ошибками конфигурации DNS, остаются малоизвестными, несмотря на их масштаб. Однако они полностью предотвратимы при соблюдении мер безопасности. Власти, компании и регистраторы должны объединить усилия для защиты доменов и повышения осведомленности об атаках.

Источники:

1. Infoblox Research Report: DNS Predators Attack — Sitting Ducks Domains.
2. Практические рекомендации по DNS-безопасности, предоставленные Infoblox.

Author: admin