Нова загроза від російських хакерів: “Сидячі качки” атакують DNS системи
Дослідники з Infoblox та Eclypsium виявили критичну вразливість у системі доменних імен (DNS), яку наразі активно використовують російські кіберзлочинці для захоплення легітимних вебсайтів. Про це повідомляє TechRadar
Останні новини: Пов’язані з росією хакери відключили опалення у 600 українських житлових будинках
Сидячі качки: нова небезпека для DNS провайдерів
Атака, відома як “Сидячі качки”, використовується понад десятком загрозливих акторів, пов’язаних з росією, для захоплення доменних імен. Вперше проблему було зафіксовано у 2016 році, але цього року вона знову набула актуальності. Відтоді компанії Infoblox та Eclypsium співпрацюють з правоохоронними органами та національними командами реагування на комп’ютерні інциденти (CERT).
Сидячі качки: масштаби та методи атак
Атака “Сидячих качок” спрямована на DNS провайдерів через комбінацію слабкої делегації та недостатньої верифікації власності доменів, що дозволяє зловмисникам захоплювати домени без доступу до облікового запису легітимного власника.
Дослідження показують, що кількість вразливих доменів є надзвичайно великою – понад мільйон у будь-який день. Метод атаки простий у виконанні та важкий для виявлення, але водночас йому цілком можна запобігти.
Наслідки та рекомендації
Після захоплення зареєстрованого домену шляхом експлуатації вразливих DNS провайдерів, зловмисник може здійснювати різноманітні шкідливі дії, такі як доставка шкідливого ПЗ, фішинг-кампанії, підробка брендів та ексфільтрація даних.
Атака “Сидячі качки” переважно залишається маловідомою та важче виявляється, ніж інші методи захоплення доменів, такі як підвішені CNAME.
Для запобігання атаці “Сидячі качки” дослідники рекомендують DNS провайдерам вимагати верифікацію власності доменів та моніторити слабкі делегації.
Компанії Infoblox та Eclypsium представлять свої висновки та додаткові деталі на майбутній конференції BlackHat, надаючи кіберспільноті можливість обговорити та вирішити цю загрозу.
