Група от заплахи, проследявана под името Hazy Hawk, използва изоставени DNS CNAME записи, сочещи към деактивирани облачни услуги, за да поеме контрол над доверени поддомейни на правителствени институции, университети и корпорации от Fortune 500. Целта: разпространение на измами, фалшиви приложения и зловредни реклами.

Как действа атаката

Според анализ на Infoblox, Hazy Hawk първоначално сканира интернет пространството за CNAME записи, които препращат към вече несъществуващи облачни ресурси. С помощта на пасивни DNS данни, групата установява кои от тези препратки са „осиротели“. След това създава нов облачен ресурс със същото име, използвано в оригиналния запис.

Така домейнът – често собственост на престижна организация – започва да сочи към сървър на нападателите, без собствениците дори да осъзнават това.

Засегнати организации

Списъкът на компрометирани поддомейни е тревожен. Сред тях личат имената на:

• cdc.gov – Центрове за контрол и превенция на заболяванията, САЩ

• honeywell.com – Многонационален индустриален конгломерат

• berkeley.edu – Калифорнийски университет в Бъркли

• michelin.co.uk – Мишлен, Великобритания

• ey.com, pwc.com, deloitte.com – Глобалните консултантски компании от „Голямата четворка“

• ted.com – TED Talks

• health.gov.au – Министерство на здравеопазването, Австралия

• unicef.org – Детски фонд на ООН (УНИЦЕФ)

• nyu.edu – Университет Ню Йорк

• unilever.com – Глобален производител на потребителски стоки

• ca.gov – Правителството на щата Калифорния

Целият списък е достъпен в доклада на Infoblox.

Скритата заплаха зад доверени домейни

След като поемат контрола над поддомейните, нападателите създават стотици зловредни URL адреси под тях. Тъй като коренният домейн има висок рейтинг на доверие, тези URL-и изглеждат напълно легитимни в резултатите на търсачки като Google.

Потребителите, които щракнат върху тях, преминават през верига от пренасочвания и TDS (Traffic Distribution System) инфраструктура, която анализира устройството, IP адреса и други характеристики, за да отсеят потенциални жертви.

Според доклада, компрометираните сайтове се използват за:

• измамни технически поддръжки,

• фалшиви антивирусни известия,

• порнографски сайтове,

• фишинг страници за кражба на данни.

Потребителите, които разрешат известия от браузъра си, започват да получават постоянни и натрапчиви съобщения – дори след като са напуснали сайта. Това носи значителни приходи за Hazy Hawk чрез зловредна реклама.

Причините за уязвимостта

Специалистите посочват, че CNAME записите често биват пренебрегвани при закриване на облачни услуги. Ако организацията не премахне записите своевременно, те остават активни и достъпни за пренасочване. Това дава възможност на нападателите да създадат ресурс със същото име в облака и да го използват без нужда от удостоверяване.

Подобен подход беше документиран и при друга заплаха – „Savvy Seahorse“, която също злоупотребяваше с DNS CNAME записи за пренасочване към фалшиви инвестиционни платформи.

Какво трябва да направят организациите

Според Infoblox, превенцията изисква:

• Регулярен одит на DNS записите

• Изрично премахване на CNAME записи към деактивирани услуги

• Наблюдение за необичайна активност по поддомейните

• Внедряване на политика за управление на DNS и облачна инфраструктура

Заключение:
Атаките на Hazy Hawk подчертават колко важен е контролът над инфраструктурните детайли, които често остават извън полезрението на екипите по сигурността. В ерата на облачните услуги, всяка „забравена“ конфигурация може да бъде вратата към сериозна компрометация.