Исследователи обнаружили масштабную схему присвоения чужих веб-страниц.
Киберпреступники захватили более 35 000 зарегистрированных доменов, используя атаку, названную исследователями «Sitting Ducks». Этот метод позволяет злоумышленникам захватывать домены без доступа к учётной записи владельца у DNS-провайдера или регистратора.
В ходе атаки Sitting Ducks, киберпреступники эксплуатируют недостатки конфигурации на уровне регистратора и недостаточную проверку владения у DNS-провайдеров. Исследователи из компаний Infoblox и Eclypsium выявили, что ежедневно с помощью этой атаки может быть захвачено более миллиона доменов.
Многочисленные киберпреступные группы уже несколько лет используют данный метод для рассылки спама, мошенничества, доставки вредоносного ПО, фишинга и кражи данных. Проблема впервые была задокументирована в 2016 году Мэтью Брайантом, инженером по безопасности компании Snap.
Для успешного проведения атаки необходимо выполнение нескольких условий: домен должен использовать или делегировать DNS-услуги провайдеру, отличному от регистратора; авторитетный DNS-сервер не должен уметь разрешать запросы; DNS-провайдер должен позволять заявлять права на домен без проверки владения.
Если указанные условия выполняются, злоумышленники могут захватить домен. Вариации атаки включают частично неверную делегацию и перенаправление к другому DNS-провайдеру. В случае истечения срока действия DNS-услуг или веб-хостинга для целевого домена, атакующий может заявить права на домен, создав учётную запись у DNS-провайдера.
Infoblox и Eclypsium наблюдали многочисленные случаи эксплуатации Sitting Ducks с 2018 и 2019 годов. За это время было зафиксировано более 35 000 случаев захвата доменов этим способом. Обычно киберпреступники удерживали домены недолгое время, но в некоторых случаях домены оставались под контролем злоумышленников до года.
Известно о нескольких хакерских группах, использующих эту атаку:
Некоторые домены были последовательно захвачены несколькими различными группами, использовавшими их для фишинга, рассылки спама и создания сетей для распространения вредоносного ПО.
Владельцам доменов рекомендуется регулярно проверять свои DNS-конфигурации на предмет неправильных делегаций, особенно для старых доменов. Регистраторы, в свою очередь, должны проводить проактивные проверки и уведомлять владельцев о проблемах. Регуляторы и стандартизирующие органы должны разработать долгосрочные стратегии для решения уязвимостей DNS и требовать от DNS-провайдеров активных действий по снижению риска атак типа Sitting Ducks.
Одно найти легче, чем другое. Спойлер: это не темная материя