Експерти з кібербезпеки б’ють на сполох: нова DNS-атака під назвою Sitting Ducks (або Ducks Now Sitting – DNS) щодня загрожує понад мільйону доменів. Дослідники з компаній Infoblox та Eclypsium виявили, що зловмисники вже захопили 35 000 доменів, використовуючи цю техніку. Особливість Sitting Ducks полягає в тому, що вона дозволяє заявити права на домен без доступу до облікового запису його власника у DNS-провайдера чи реєстратора.
Механізм атаки Sitting Ducks
Sitting Ducks експлуатує проблеми конфігурації на рівні реєстраторів та недостатню перевірку прав власності у DNS-провайдерів. Для успішної реалізації атаки необхідні такі умови:
- Домен використовує авторитетні DNS-сервіси провайдера, відмінного від реєстратора
- Термін реєстрації авторитетного DNS або хостингу цільового домену закінчується
- Зловмисник створює обліковий запис у DNS-провайдера та заявляє права на домен
Після захоплення домену атакуючі отримують можливість створювати на ньому шкідливі сайти, налаштовувати параметри DNS на резолвінг за підробленою адресою та використовувати його для різноманітних видів шахрайської діяльності.
Історія та масштаби проблеми
Вперше проблеми, пов’язані з Sitting Ducks, були задокументовані ще в 2016 році спеціалістом компанії Snap Метью Брайантом. Однак навіть через роки цей вектор атаки залишається простим та ефективним способом захоплення доменів. За даними дослідників, у 2018-2019 роках спостерігалося значне зростання активності зловмисників, які експлуатували цю вразливість.
Статистика та тенденції
Експерти зафіксували щонайменше 35 000 випадків захоплення доменів за допомогою техніки Sitting Ducks. Зазвичай зловмисники утримують домени протягом короткого періоду, але були випадки, коли домени залишалися під контролем атакуючих близько року. Також спостерігалися ситуації, коли один і той самий домен по черзі захоплювали кілька угруповань, використовуючи його у своїх операціях протягом 1-2 місяців.
Групи загроз та їхні цілі
Дослідники виявили, що Sitting Ducks активно експлуатують кілька кластерів загроз, зокрема:
- Російськомовні хакерські групи
- Спамери та фішери
- Розповсюджувачі шкідливого програмного забезпечення
Захоплені домени використовуються для проведення спам-кампаній, шахрайства, доставки шкідливого ПЗ, фішингу та викрадення даних. Це робить Sitting Ducks особливо небезпечною атакою, яка загрожує як власникам доменів, так і кінцевим користувачам.
Рекомендації щодо захисту
Для мінімізації ризиків, пов’язаних з атакою Sitting Ducks, експерти рекомендують:
- Власникам доменів: регулярно перевіряти конфігурацію DNS на наявність проблем з делегуванням, особливо на старих доменах
- Оновлювати записи про делегування у реєстратора або на авторитетному name-сервері
- Реєстраторам: проводити проактивні перевірки на предмет непрацюючих делегувань та попереджати про це власників
DNS-атака Sitting Ducks становить серйозну загрозу для кібербезпеки в глобальному масштабі. Власникам доменів та DNS-провайдерам необхідно вжити невідкладних заходів для захисту своїх ресурсів. Регулярний моніторинг, своєчасне оновлення конфігурацій та підвищення обізнаності щодо цієї проблеми допоможуть значно знизити ризики та запобігти потенційним атакам.