Sitting Ducks: 35 000 доменов захвачены кибербандитами без шума и пыли

Киберпреступники захватили более 35 000 зарегистрированных доменов, используя атаку, названную исследователями «Sitting Ducks». Этот метод позволяет злоумышленникам захватывать домены без доступа к учётной записи владельца у DNS-провайдера или регистратора.

В ходе атаки Sitting Ducks, киберпреступники эксплуатируют недостатки конфигурации на уровне регистратора и недостаточную проверку владения у DNS-провайдеров. Исследователи из компаний Infoblox и Eclypsium выявили, что ежедневно с помощью этой атаки может быть захвачено более миллиона доменов.

Многочисленные киберпреступные группы уже несколько лет используют данный метод для рассылки спама, мошенничества, доставки вредоносного ПО, фишинга и кражи данных. Проблема впервые была задокументирована в 2016 году Мэтью Брайантом, инженером по безопасности компании Snap.

Для успешного проведения атаки необходимо выполнение нескольких условий: домен должен использовать или делегировать DNS-услуги провайдеру, отличному от регистратора; авторитетный DNS-сервер не должен уметь разрешать запросы; DNS-провайдер должен позволять заявлять права на домен без проверки владения.

Если указанные условия выполняются, злоумышленники могут захватить домен. Вариации атаки включают частично неверную делегацию и перенаправление к другому DNS-провайдеру. В случае истечения срока действия DNS-услуг или веб-хостинга для целевого домена, атакующий может заявить права на домен, создав учётную запись у DNS-провайдера.

Infoblox и Eclypsium наблюдали многочисленные случаи эксплуатации Sitting Ducks с 2018 и 2019 годов. За это время было зафиксировано более 35 000 случаев захвата доменов этим способом. Обычно киберпреступники удерживали домены недолгое время, но в некоторых случаях домены оставались под контролем злоумышленников до года.

Известно о нескольких хакерских группах, использующих эту атаку:

• «Spammy Bear» — захватывала домены GoDaddy в конце 2018 года для рассылки спама.
• «Vacant Viper» — с декабря 2019 года ежегодно захватывает около 2500 доменов для системы 404TDS, распространяющей IcedID и создающей C2-домены для вредоносного ПО.
• «VexTrio Viper» — с начала 2020 года использует домены для системы массового распределения трафика, способствующей операциям SocGholish и ClearFake.

Некоторые домены были последовательно захвачены несколькими различными группами, использовавшими их для фишинга, рассылки спама и создания сетей для распространения вредоносного ПО.

Владельцам доменов рекомендуется регулярно проверять свои DNS-конфигурации на предмет неправильных делегаций, особенно для старых доменов. Регистраторы, в свою очередь, должны проводить проактивные проверки и уведомлять владельцев о проблемах. Регуляторы и стандартизирующие органы должны разработать долгосрочные стратегии для решения уязвимостей DNS и требовать от DNS-провайдеров активных действий по снижению риска атак типа Sitting Ducks.