В мире кибербезопасности появилась новая угроза, способная поставить под удар миллионы доменов. Эксперты из компаний Infoblox и Eclypsium предупреждают о масштабной DNS-атаке под названием Sitting Ducks (также известной как Ducks Now Sitting – DNS), которая ежедневно угрожает более чем миллиону доменов. Эта атака позволяет злоумышленникам захватывать домены без доступа к учетным записям их законных владельцев, что делает ее особенно опасной и трудно обнаружимой.
Механизм атаки Sitting Ducks
Sitting Ducks эксплуатирует уязвимости в конфигурации на уровне регистраторов доменов и недостаточную проверку прав собственности у DNS-провайдеров. Для успешной реализации атаки необходимо соблюдение следующих условий:
- Домен должен использовать авторитетные DNS-сервисы провайдера, отличного от регистратора (например, хостинга).
- Срок регистрации авторитетного DNS или хостинга целевого домена должен истечь.
- DNS-провайдер не должен проводить надлежащую проверку владения доменом при создании новой учетной записи.
При соблюдении этих условий злоумышленники могут заявить права на домен, создав учетную запись у DNS-провайдера. Это дает им возможность создавать на домене вредоносные сайты и настраивать параметры DNS на резолвинг по поддельному адресу, лишая законного владельца возможности изменить записи DNS.
Масштабы и последствия атаки
По данным исследователей, с помощью техники Sitting Ducks уже было захвачено более 35 000 доменов. Злоумышленники используют захваченные домены для различных видов мошеннической деятельности, включая:
- Распространение вредоносного ПО
- Проведение спам-кампаний
- Организацию фишинговых атак
- Кражу конфиденциальных данных
Особую тревогу вызывает тот факт, что некоторые домены удерживаются злоумышленниками до года, а в ряде случаев один и тот же домен последовательно захватывается несколькими хакерскими группировками.
Кто стоит за атаками Sitting Ducks?
Эксперты отмечают, что Sitting Ducks активно эксплуатируется различными кластерами угроз, среди которых:
- Русскоязычные хакерские группы
- Операторы вредоносного ПО Magecart
- Группировки, специализирующиеся на кардинге
- Операторы банковских троянов
Примечательно, что проблемы, связанные с Sitting Ducks, были впервые задокументированы еще в 2016 году специалистом компании Snap Мэтью Брайантом. Однако даже спустя годы этот вектор атаки остается простым и эффективным способом захвата доменов.
Меры защиты и рекомендации
Для защиты от атак типа Sitting Ducks эксперты рекомендуют следующие меры:
- Владельцам доменов регулярно проверять конфигурацию DNS на наличие проблем с делегированием, особенно на старых доменах.
- Своевременно обновлять записи о делегировании у регистратора или на авторитетном name-сервере.
- Регистраторам проводить проактивные проверки на предмет неработающих делегирований и предупреждать об этом владельцев.
- DNS-провайдерам усилить проверку прав собственности при создании новых учетных записей.
Угроза Sitting Ducks подчеркивает важность постоянного мониторинга и обеспечения безопасности DNS-инфраструктуры. Владельцам доменов и компаниям необходимо проявлять бдительность и принимать активные меры для защиты своих цифровых активов от этой и подобных атак. Только комплексный подход к кибербезопасности позволит минимизировать риски и обеспечить надежную защиту от современных угроз в сфере DNS.
