Глобальна кампанія з підміни DNS-записів відбувається зараз у мережі Інтернет. Про це повідомляє CERT-UA за даними Національного центру інтеграції кібербезпеки і комунікацій (NCCIC).

Фахівці попереджають про використання зловмисниками скомпрометованих облікових даних та підміни IP-адрес, за якими закріплене доменне ім’я. Це дає змогу кіберзлочинцям перенаправляти трафік користувача до керованої системи і отримувати дійсні сертифікати шифрування для доменних імен організації, що у свою чергу дозволяє здійснювати так звані атаки “man-in-the-middle” (з англ.- “людина посередині”).

Як перехоплюють трафік?

Фахівці з кібербезпеки розкривають методи, як зловмисники перенаправляють і перехоплюють веб- і поштовий трафік, та можуть робити це для інших мережевих служб.

Найперше, зловмисники отримують облікові дані користувача, який може вносити зміни до записів DNS.

Далі зловмисники змінюють записи DNS, такі як Address (A), Mail Exchanger (MX) або Name Server (NS), замінюючи легітимну адресу сервісу на підконтрольну. Це дозволяє їм направляти користувацький трафік на свою керовану систему, перш ніж перенаправити його на легітимну адресу сервісу.

Оскільки зловмисник може встановити значення запису DNS, вони також можуть отримати дійсні сертифікати шифрування для доменних імен організації. Це дозволяє дешифрувати перенаправлений трафік, викриваючи всі передані користувачем дані. Оскільки сертифікат діє для домену, кінцеві користувачі не отримують попереджень про помилки.

Як захиститися?

На сайті CERT-UA можна ознайомитися із ідентифікаторами компрометації.

Для захисту власних інформаційно-телекомунікаційних систем фахівці CERT-UA радять дотримуватися наступних рекомендацій:

1. Оновіть паролі для всіх облікових записів, які можуть змінювати DNS записи організації.
2. Реалізуйте багатофакторну аутентифікацію на облікових записах реєстратора доменів або на інших системах, які використовуються для зміни записів DNS.
3. Проведіть аудит загальнодоступних записів DNS, щоб перевірити, чи вони направляють до потрібного ресурсу.
4. Знайдіть сертифікати шифрування, пов’язані з цими доменами, і відхиляйте будь-які сертифікати, які вимагаються обманним шляхом.