Рост атак, связанных с захватом контроля над DNS
Компьютерная команда экстренной готовности США (US-CERT) предупредила администраторов о выявлении массовых атак, проводимых через перенаправление трафика на подконтрольным злоумышленникам хост при помощи правки параметров DNS в интерфейсе регистратора или провайдера услуг DNS.
Для получения доступа к настройкам DNS (многие клиенты не запускают свой DNS-сервер, а пользуются сторонним сервисом, как правило предоставляемым регистратором) организаторы атаки подбирают или перехватывают пароль к учетной записи для входа в интерфейс регистратора. Например пароль может быть захвачен в результате внедрения троянских приложений на компьютеры жертв или вычислен пользуясь совпадениями с паролями из доступных баз учетных записей, захваченных в результате атаки на известные сервисы (многие пользователи используют один пароль на разных сайтах). В отчете также отмечается возможность подмены параметров в DNS через проведение непосредственных атак на регистраторов и DNS-сервисы, но конкретные случаи не уточняются.
После получения доступа к параметрам DNS атакующие указывают для домена IP-адрес своего хоста, на котором запускают прокси, перенаправляющий весь трафик на легитимный сервер жертвы. В отличие от ранее фиксированных подобных атак, злоумышленники получают рабочий SSL-сертификат, подтверждая контроль за доменом в сервисе Let's Encrypt. В результате HTTPS трафик на подставной хост воспринимается браузерами как корректный и не вызывает подозрения у пользователей.
Тот факт, что у сайта изменился IP-адрес зачастую остается незамеченным длительное время, так как сайт жертвы продолжает работать без изменений, за исключением небольшого увеличения времени отклика из-за дополнительного перенаправления трафика через сервер атакующих. На подконтрольном злоумышленникам сервере, работающем как прокси для совершения MITM-атаки, производится анализ всего транзитного трафика для захвата конфиденциальных данных, паролей и платежной информации.
Общий масштаб атаки пока не ясен. С учетом применения корректных SSL-сертификатов и изменений IP в DNS-сервисах (привязанные к домену DNS-серверы регистратора остаются не измененными) со стороны достаточно трудно выявить факт вмешательства злоумышленников. Среди скомпрометированных систем отмечаются некоторые коммуникационные компании, ISP, государственные организации и коммерческие предприятия.
Для того чтобы не стать жертвой атаки владельцам доменов рекомендуется включить двухфакторную аутентификацию для входа в интерфейс регистратора или провайдера DNS, а также проверить соответствие выдаваемого для домена IP-адреса с фактическим адресом своего сервера и выполнить поиск дополнительных SSL-сертификатов, сгенерированных для своего домена.
