Attacchi Sitting Ducks: Un pericolo per i domini internet

Attacchi Sitting Ducks: Un pericolo per i domini internet

Gli attacchi Sitting Ducks rappresentano una minaccia significativa per la sicurezza dei domini internet. Questi attacchi, condotti da cybercriminali, sfruttano vulnerabilità nei sistemi DNS (Domain Name System) per il controllo dei domini senza l’accesso all’account del proprietario. In questo articolo, esploreremo i dettagli di questi attacchi, le loro modalità di esecuzione, i gruppi di cybercriminali coinvolti e come proteggere i propri domini da questi pericoli.

Storia degli Attacchi Sitting Ducks

Gli attacchi Sitting Ducks sono stati documentati per la prima volta nel 2016 da Matthew Bryant, un ingegnere di sicurezza di Snap. Tuttavia, è solo negli ultimi anni che la scala e l’efficacia di questi attacchi sono diventate evidenti. Da allora, sono stati identificati oltre 35.000 domini hijacked utilizzando questa tecnica.

Come Funzionano gli Attacchi Sitting Ducks

Gli attacchi Sitting Ducks si basano su tre fattori chiave:

  • Configurazione Errata al Registratore: Un dominio che utilizza o delega i servizi DNS autoritativi a un provider diverso dal registratore.
  • Nome Autoritativo Non Rispondente: Un nome autoritativo che non può rispondere alle query perché non dispone delle informazioni necessarie (lame delegation).
  • Verifica di Proprietà Insufficiente: Un provider DNS che non verifica adeguatamente la proprietà del dominio o richiede l’accesso all’account del proprietario.

Esempio di Attacco

Un esempio di come funziona un attacco Sitting Ducks è il seguente:

  1. Identificazione della Vulnerabilità: Un cybercriminale identifica un dominio che utilizza un provider DNS diverso dal registratore e che presenta una lame delegation.
  2. Creazione di un Nuovo Account: Il cybercriminale crea un nuovo account presso il provider DNS e “clama” il dominio senza accesso all’account del proprietario.
  3. Configurazione dei Record DNS: Il cybercriminale configura i record DNS per risolvere le richieste IP verso un indirizzo falso, rendendo impossibile per il proprietario legittimo modificare i record DNS.

Gruppi di Cybercriminali Coinvolti

Alcuni dei gruppi di cybercriminali più noti coinvolti negli attacchi Sitting Ducks includono:

  • Vacant Viper: Attivo dal dicembre 2019, hijacka circa 2.500 domini ogni anno per utilizzarli nel sistema di distribuzione del traffico (TDS) chiamato 404TDS. Utilizza questi domini per operazioni di spam, distribuzione di malware e impostazione di punti di controllo remoti (C2) per trojan remoti (RAT).
  • Vextrio Viper: Attivo dal 2020, utilizza i domini hijackati come parte della sua infrastruttura TDS più estesa. Collega i domini compromessi a un network di affiliati di oltre 65 partner, che reindirizzano gli utenti a siti di phishing, malware e truffe.
  • Horrid Hawk: Attivo dal febbraio 2023, utilizza i domini hijackati per campagne di frode finanziaria attraverso piattaforme social come Facebook. Embedde i domini hijackati in annunci pubblicitari a breve durata in oltre 30 lingue e continenti.
  • Hasty Hawk: Attivo dal marzo 2022, hijacka oltre 200 domini per operare campagne di phishing che spesso imitano marchi noti come DHL. Utilizza provider diversi e reconfigura i domini hijackati per ospitare contenuti su IP russi.

Impatto e Prevenzione

Gli attacchi Sitting Ducks possono avere un impatto significativo su organizzazioni e individui. Le vittime possono subire danni reputazionali, rischi di malware o furto di credenziali. Inoltre, le squadre di sicurezza possono avere difficoltà a mantenere difese efficaci contro minacce sempre più stealthy.

Suggerimenti per la Prevenzione

Per proteggere i propri domini da questi attacchi, è essenziale:

  • Regolare la Configurazione dei Servizi DNS: Verificare regolarmente la configurazione dei servizi DNS per assicurarsi che non ci siano lame delegation o altre vulnerabilità.
  • Verificare la Proprietà del Dominio: Assicurarsi che il provider DNS verifichi adeguatamente la proprietà del dominio e richieda l’accesso all’account del proprietario.
  • Utilizzare Protezioni Robuste: Utilizzare protezioni robuste come quelle offerte da provider sicuri e monitorare regolarmente i record DNS per segnalare eventuali cambiamenti sospetti.
  • Collaborare con la Comunità di Sicurezza: Collaborare con la comunità di sicurezza per condividere informazioni e best practice sulla prevenzione degli attacchi Sitting Ducks.

Gli attacchi Sitting Ducks rappresentano una minaccia significativa per la sicurezza dei domini internet. È essenziale che gli organizzazioni e gli individui prendano misure proattive per proteggere i propri domini da questi pericoli. Utilizzando protezioni robuste, verificando regolarmente la configurazione dei servizi DNS e collaborando con la comunità di sicurezza, è possibile mitigare il rischio di attacchi Sitting Ducks e mantenere la sicurezza dei propri domini.

Fonte: https://www.helpnetsecurity.com/2024/11/15/sitting-ducks-attack

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto