Компьютерная команда экстренной готовности США (US-CERT) предупредила администраторов о выявлении массовых атак, проводимых через перенаправление трафика на подконтрольный злоумышленникам хост при помощи правки параметров DNS в интерфейсе регистратора или провайдера услуг DNS.

Для получения доступа к настройкам DNS (многие клиенты не запускают свой DNS-сервер, а пользуются сторонним сервисом, как правило предоставляемым регистратором) организаторы атаки подбирают или перехватывают пароль к учётной записи для входа в интерфейс регистратора/DNS-сервиса. Например пароль может быть захвачен в результате внедрения троянских приложений на компьютеры жертв или вычислен, пользуясь совпадениями с паролями из доступных баз учётных записей, захваченных в результате атаки на известные сервисы (многие пользователи используют один пароль на разных сайтах). В отчёте также отмечается выполнение подмены серверов DNS, в случае если пользователь поддерживает собственные DNS-серверы, а не использует DNS-сервис регистратора.

После получения доступа к параметрам DNS атакующие указывают для домена IP-адрес своего хоста, на котором запускают прокси, перенаправляющий весь трафик на легитимный сервер жертвы. В отличие от зафиксированных в прошлые годы подобных атак, злоумышленники получают рабочий SSL-сертификат, подтверждая контроль за доменом в автоматически выдающем сертификаты сервисе Let’s Encrypt. В результате HTTPS трафик на подставной хост воспринимается браузерами как корректный и не вызывает подозрения у пользователей.

Тот факт, что у сайта изменился IP-адрес зачастую остаётся незамеченным длительное время, так как сайт жертвы продолжает работать без изменений, за исключением небольшого увеличения времени отклика из-за дополнительного перенаправления трафика через сервер атакующих. На подконтрольном злоумышленникам сервере, работающем как прокси для совершения MITM-атаки, производится анализ всего транзитного трафика для захвата конфиденциальных данных, паролей и платёжной информации.

Общий масштаб атаки пока не ясен. Cо стороны достаточно трудно выявить факт вмешательства злоумышленников c учётом применения ими корректных SSL-сертификатов и изменения IP в DNS-сервисах (если атака проводится не через подмену DNS-серверов, а через правку привязки IP в интерфейсе управления DNS, то привязанные к домену DNS-серверы регистратора остаются не изменёнными). Среди скомпрометированных систем отмечаются некоторые коммуникационные компании, ISP, государственные организации и крупные коммерческие предприятия.

Для того чтобы не стать жертвой атаки владельцам доменов рекомендуется включить двухфакторную аутентификацию для входа в интерфейс регистратора или провайдера DNS, а также проверить соответствие выдаваемого для домена IP-адреса с фактическим адресом своего сервера, проанализировать логи на предмет поступления входящих запросов только с одного IP и выполнить поиск дополнительных SSL-сертификатов, сгенерированных для своего домена.