Investigadores de Infoblox han descubierto una sofisticada campaña de ciberataques llevada a cabo por el grupo Hazy Hawk, que está explotando vulnerabilidades en la infraestructura DNS global para apoderarse de subdominios pertenecientes a organizaciones de alto perfil. Los atacantes aprovechan registros CNAME obsoletos que apuntan a servicios cloud inactivos, permitiéndoles tomar el control de dominios gubernamentales, académicos y corporativos.
Metodología del Ataque: Explotación Innovadora de Registros DNS
La técnica empleada por Hazy Hawk destaca por su simplicidad y efectividad. Los atacantes realizan un escaneo pasivo de DNS para identificar registros CNAME que apuntan a endpoints cloud abandonados. Una vez detectados, proceden a registrar nuevos recursos cloud con nombres idénticos, efectivamente secuestrando el control del subdominio. Esta metodología es particularmente peligrosa porque opera dentro de los parámetros normales de la infraestructura DNS.
Organizaciones Afectadas y Alcance del Compromiso
Entre las víctimas confirmadas se encuentran instituciones gubernamentales y organizaciones internacionales de primer nivel, incluyendo CDC (cdc.gov), UNICEF (unicef.org) y el Ministerio de Salud de Australia (health.gov.au). El ataque también ha afectado a prestigiosas universidades como Berkeley y NYU, además de corporaciones multinacionales como Honeywell, Michelin y Unilever.
Infraestructura Maliciosa y Vectores de Ataque
Los dominios comprometidos son utilizados para desplegar una compleja infraestructura de redirección de tráfico (TDS) que perfila a las víctimas según múltiples criterios, incluyendo tipo de dispositivo, ubicación geográfica y uso de VPN. Esta infraestructura facilita la distribución de:
- Estafas de soporte técnico fraudulento
- Alertas falsas de antivirus
- Páginas de phishing sofisticadas
- Notificaciones push maliciosas
Para proteger sus activos digitales contra este tipo de ataques, las organizaciones deben implementar un riguroso programa de gestión de DNS que incluya auditorías regulares de registros CNAME, eliminación proactiva de configuraciones obsoletas y monitorización continua de la infraestructura DNS. La implementación de DNSSEC y el uso de registros CAA pueden proporcionar capas adicionales de seguridad contra estos ataques emergentes.