Уязвимость в GoDaddy позволяла «угонять» чужие домены

image

Теги: GoDaddy, DNS, домен, уязвимость, спам, Spammy Bear

Злоумышленники захватили тысячи чужих доменов для рассылки спама.

Уязвимость в системах GoDaddy позволяла злоумышленникам «угонять» чужие домены. Именно это произошло в середине прошлого месяца, когда пользователей в США и Канаде накрыла волна спама. Злоумышленники массово рассылали уведомления о заложенных бомбах и угрожали взорвать их, если не получат $20 тыс., пишет Ars Technica.

Как показало расследование, вымогатели похитили как минимум 78 доменов, принадлежащих крупным компаниям, в том числе Expedia, Mozilla и Yelp. С помощью этой же уязвимости киберпреступники захватили тысячи доменов, принадлежащих менее известным организациям, для использования в других спам-кампаниях. В ходе некоторых кампаний вымогатели шантажировали пользователей, угрожая опубликовать видео интимного характера с их участием.

По данным исследователя безопасности Рональда Гилмета (Ronald Guilmette), группировка Spammy Bear «угнала» порядка 4 тыс. доменов, принадлежащих 600 организациям и людям. Кто стоит за атаками, пока неизвестно.

Техника, известная как «спам на снегоступах» (snowshoe spamming), существенно повышает вероятность попадания нежелательного письма в почтовый ящик, поскольку ослабляет используемые спам-фильтрами метрики репутации. Увеличение количества IP-адресов, с которых отправляются письма, затрудняет распознавание и захват спама фильтрами.

Поскольку практически все затронутые атаками домены пользовались услугами GoDaddy, Гилмет заподозрил, что всему виной может быть уязвимость в системе регистратора доменных имен. Исследователь обратился за комментариями к GoDaddy и получил ответ следующего содержания: «По результатам расследования наша команда подтвердила, что злоумышленник(и) неправомерно использовал наш процесс настройки DNS. Мы нашли решение и немедленно предприняли соответствующие меры. Хотя злоумышленникам удалось создать записи DNS на заброшенных доменах, учетные записи похищены не были, а информация клиентов осталась нетронутой».

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.