Nova Prijetnja na Internetu: Otimanje Subdomena
U današnje vrijeme, svijet interneta suočava se s novim izazovima kada je u pitanju sigurnost. Naime, kriminalci koriste subdomene velikih organizacija, poput Bosea, Panasonica i američkih CDC-a (Centri za kontrolu i prevenciju bolesti), kako bi širili zloćudni softver i provodili internetske prevare. Prema tvrdnjama sigurnosnih stručnjaka iz Infobloxa, u središtu ove opasne kampanje nalazi se grupa poznata kao Hazy Hawk. Ova grupa primenjuje tihe, ali vrlo učinkovite strategije za kompromitaciju povjerenja korisnika i iskorištavanje istog protiv nesuspektivnih posjetitelja.
Kako Hazy Hawk Radi?
Ove pljačke subdomena ne događaju se zahvaljujući izravnom hakiranju, već iskorištavanju zanemarenih ranjivosti infrastrukture. Dok većina hakera koristi brute-force napade ili phishing, Hazy Hawk se fokusira na napuštene resurse u oblaku koji su povezani s pogrešno konfiguriranim DNS CNAME zapisima. Ovi “viseći” zapisi nastaju kada organizacija prestane koristiti uslugu u oblaku, a zaboravi ažurirati ili obrisati DNS unos koji je povezan s njom, čime ostavlja poddomenu ranjivom.
Primjerice, zaboravljena poddomena poput “nešto.bose.com” može i dalje upućivati na neiskorišteni Azure ili AWS resurs. Ako Hazy Hawk registrira odgovarajući oblak, napadač tada dobiva kontrolu nad legitimno izgledajućom Bose poddomenom. Ova metoda je posebno opasna jer konvencionalni sigurnosni sustavi obično ne ukazuju na takve pogrešne konfiguracije.
Prevare i Nakanama
Oduzete poddomene postaju platforme za isporuku prevara, uključujući lažne antivirusne upozorenja, prevare tehničke podrške i zloćudni softver prikriven kao ažuriranja programa. Hazy Hawk ne staje samo na otimanju – koristi sustave za distribuciju prometa (TDS) za preusmjeravanje korisnika s otetih poddomena na maliciozne odredišne točke. Ovi TDS-ovi, poput viralclipnow.xyz, procjenjuju korisničke uređaje, lokaciju i ponašanje prilikom pregledavanja kako bi prikazali prilagođene prevare.
Redirekcija obično započinje s naizgled bezopasnim domenama za programere ili blogovima, poput share.js.org, prije nego što korisnike usmjere kroz mrežu zavođenja. Nakon što korisnici prihvate zahtjeve za push obavijestima, nastavljaju primati poruke prevare dugo nakon inicijalne infekcije, čime se uspostavlja trajni put za prevaru.
Posljedice te Prijeteće Kampanje
Posljedice ovih kampanja nisu samo teoretske; one su već utjecale na ugledne organizacije kao što su CDC, Panasonic i Deloitte. Posljedice mogu biti ozbiljne, stoga je od ključne važnosti da pojedinci poduzmu mjere opreza protiv ovih prijetnji.
Kako se Zaštititi?
Evo nekoliko korisnih savjeta:
- Odbijajte zahtjeve za push obavijestima s nepoznatih stranica.
- Budite oprezni s linkovima koji izgledaju previše dobro da bi bili istiniti.
Za organizacije, naglasak mora biti na održavanju DNS higijene. Ne uklanjanjem DNS unosa za napuštene usluge u oblaku, ostavljate poddomene ranjivima na preuzimanje. Automatizirani alati za praćenje DNS-a, posebno oni povezani s obavještajnim informacijama o prijetnjama, mogu pomoći u otkrivanju znakova kompromitacije. Sigurnosni timovi trebaju tretirati ove pogrešne konfiguracije kao kritične ranjivosti, a ne malene propuste.
Zaključak
S obzirom na sve veću prijetnju Hazy Hawka i sličnih grupa, od vitalnog je značaja da korisnici i organizacije ostanu informirani i oprezni. Pravilno rukovanje DNS zapisima i proaktive mjere zaštite mogu pomoći u očuvanju sigurnosti na internetu i spriječiti prevarantske napade.
