Zapomniane subdomeny, realne zagrożenie
Obecnie cyberbezpieczeństwo staje się równie ważne co bezpieczeństwo fizyczne, a niewielki błąd konfiguracyjny może mieć katastrofalne skutki. Przykład? Operacja Hazy Hawk – precyzyjnie zaplanowana seria ataków, które pokazują, jak łatwo można wykorzystać zaniedbania największych graczy. Od agencji rządowych po globalne marki – wszyscy okazali się podatni na prostą, ale skuteczną metodę przejęcia zaufanych subdomen. Nie chodziło o skomplikowane włamania ani złamanie szyfrowania – wystarczyła luka w zarządzaniu rekordami DNS, a konkretnie porzucone wpisy typu CNAME. Za wszystkim stoi cyberprzestępczy gang znany jako Hazy Hawk, który opracował własny mechanizm wykrywania „osieroconych” rekordów DNS, prowadzących do nieistniejących już zasobów w chmurze. Zamiast jednak przechodzić do klasycznych metod włamań, przestępcy stworzyli nowe zasoby o identycznych nazwach, które zaczęły być automatycznie kojarzone z dawnymi subdomenami, nadal aktywnymi w systemach DNS renomowanych organizacji. Efekt? Tysiące użytkowników trafiających na strony, które wyglądają jak oryginalne, ale są sterowane przez osoby o całkowicie odmiennych zamiarach. Lista zainfekowanych subdomen robi wrażenie – od CDC, przez Uniwersytet Berkeley, po globalne korporacje jak Honeywell, Michelin czy Unilever. Nawet domeny należące do TED, UNICEF-u i rządów USA oraz Australii zostały wykorzystane w kampaniach, których celem było nie tylko szerzenie fałszywych informacji, ale również zdobycie danych i pieniędzy użytkowników. Wszystko odbywało się z wykorzystaniem infrastruktury TDS (Traffic Distribution System), która inteligentnie rozpoznaje, kto odwiedza daną stronę – analizuje IP, urządzenie, przeglądarkę, a nawet korzystanie z VPN, by dobrać odpowiedni schemat ataku.
Oszustwa za maską zaufania
To, co czyni działania Hazy Hawk szczególnie groźnymi, to wykorzystanie mechanizmu zaufania budowanego przez lata przez instytucje i firmy. Kiedy użytkownik trafia na subdomenę powiązaną z domeną „cdc.gov” czy „berkeley.edu”, nie zastanawia się nad tym, czy strona może być fałszywa. Wierzy w jej autentyczność z definicji. Tymczasem pod taką przykrywką cyberprzestępcy umieszczają fałszywe alerty o wirusach, witryny udające platformy streamingowe czy strony phishingowe, wyłudzające dane logowania lub dane kart płatniczych. Niektóre z tych witryn skłaniają użytkowników do zezwolenia na powiadomienia push. W efekcie nawet po opuszczeniu strony ofiara wciąż otrzymuje niechciane komunikaty – często zmanipulowane tak, by wzbudzać panikę lub nakłaniać do kliknięcia w kolejne fałszywe linki. Te powiadomienia stają się kolejnym źródłem dochodu dla przestępców – wygenerowany ruch i kliknięcia to prawdziwa kopalnia pieniędzy w świecie zautomatyzowanego marketingu i reklam.
Według specjalistów z Infoblox, którzy ujawnili szczegóły działania Hazy Hawk, to nie pierwszy raz, gdy rekordy CNAME stają się furtką dla cyberataków. Wcześniej z podobnej techniki korzystała grupa Savvy Seahorse, która zbudowała za jej pomocą całą platformę przekierowań prowadzących do fałszywych serwisów inwestycyjnych. Problem w tym, że tego rodzaju rekordy łatwo przeoczyć – często są nieusuwane po likwidacji usług w chmurze, a przez to pozostają podatne na wykorzystanie przez osoby trzecie. Raport Infoblox nie pozostawia złudzeń – choć technika Hazy Hawk jest relatywnie prosta, liczba dotkniętych organizacji oraz potencjalne szkody są ogromne. A co gorsza, sytuacja ta może się powtarzać, dopóki instytucje nie zaczną traktować zarządzania DNS z taką samą uwagą, jaką poświęcają zabezpieczeniom aplikacji czy serwerów.
