Атака «Sitting Ducks» вышла из-под контроля: 70 000 доменов уже захвачены хакерами

Проблемы в конфигурации оставляют под угрозой ещё миллионы ресурсов.


z37pos5wp9rybqf3gi11vp51wnh2tq6x.jpg


В последние полгода киберпреступники захватили более 70 000 доменов из примерно 800 000, уязвимых для простой атаки, известной как «Sitting Ducks» . Специалисты Infoblox и Eclypsium предупреждали об этой уязвимости ещё в середине лета и рекомендовали владельцам сайтов немедленно устранить проблему, однако многие проигнорировали это предупреждение.

Атака основана на ошибках в настройке DNS , известных как «Lame Delegation». При такой конфигурации сервер не может «разрешить» адрес сайта, что позволяет злоумышленникам захватить домен и изменить его DNS-записи, не имея доступа к учётной записи владельца.

Среди пострадавших уже числятся такие крупные компании, как CBS Interactive и McDonald’s, а также ряд государственных и некоммерческих организаций. Исследователи отмечают, что эти атаки остаются малозаметными, так как проблема не признана официальной уязвимостью и не получила CVE-идентификатор.

Специалисты Infoblox указывают на массовое распространение этой уязвимости. По их оценкам, ежедневно около миллиона доменов могут подвергаться атаке «Sitting Ducks». Особенно часто уязвимыми оказываются сайты, использующие популярные бесплатные DNS-сервисы.

Злоумышленники активно эксплуатируют уязвимые домены для создания инфраструктуры кибератак. Преступники используют захваченные ресурсы для распространения спама, доставки вредоносного ПО и командных центров управления. Многие сайты после захвата становятся площадками для переадресации трафика на вредоносные ресурсы.

Особую активность проявляют две группы. Первая — Vacant Viper, ежегодно захватывающая около 2 500 доменов для использования в спам-кампаниях и других незаконных операциях. Вторая — Vextrio Viper, организующая масштабные аффилированные программы для распределения трафика.

Проблема может быть устранена правильной настройкой DNS у регистраторов и провайдеров. Эксперты подчёркивают, что конфигурационные ошибки — это упущение, которое легко предотвратить при должной координации всех сторон, вовлечённых в управление доменами.