Хакеры научились взламывать интернет-провайдеров и через них заражать ПК жертв

Китайская хакерская группировка взломала интернет-провайдера и начала заражать компьютеры его абонентов вредоносным программным обеспечением (ПО). Скомпрометирован был брандмауэр подвергшейся кибератаке организации, но происхождение ПО прослеживается на уровне интернет-провайдера.

Новый метод кибератак

Китайская хакерская группа StormBamboo, также известная как Evasive Panda, взломала интернет-провайдера и начала распространять вредоносное ПО на компьютеры клиентов. Эксперты по кибербезопасности Volexity обнаружили это, когда исследовали результаты ИТ-взлома одной из компаний и опубликовали свой отчет в начале августа 2024 г.

Изначально установить источник заражения было сложно. Первоначально в Volexity предполагали, что проблема могла быть в самом корпоративном фаерволе. При дальнейшем расследовании киберинцидента стало ясно, что причиной стала атака на уровне провайдера интернет-услуг (ISP), известная как «отравление Domain Name System или же (DNS)».

DNS-отравление заключается в манипуляции IP-адресами в записях, хранимых в памяти DNS-серверов. Цель - заставить DNS-сервер отправить в ответ на запрос некорректный, а указанный злоумышленником IP-адрес. Такая кибератака возможна, когда в операционной системе (ОС) сервера есть уязвимость.

Хакеры крадут данные через интернет-провайдеров

Для того чтобы остановить симптомы заражения DNS, провайдер перезагрузил оборудование, ответственное за маршрутизацию трафика. Принцип работы хакеров довольно прост - злоумышленники подменили ресурсы, к которым обращаются программы пользователей за обновлениями. Например, вместо бесплатного медиа-плеера 5KPlayer пользователи загружали вредоносное ПО.

Хакерская группа StormBamboo использовала эту методику для атаки нескольких программных ИТ-продуктов. ИБ-специалисты из Volexity не раскрыли имя интернет-провайдера, а также количество пострадавших от инцидента компьютеров.

Кибератаки подобного рода организовывались несколько раз, начиная с середины 2023 г. При этом были затронуты как персональные компьютеры (ПК) под управлением ОС Windows, так и под управлением ОС macOS от Apple.

Механизмы ИТ-атаки

Среди вредоносного ПО были замечены Macma и Pocostick (также известная как MGBot), позволяющие злоумышленникам удаленно делать снимки экрана, перехватывать нажатия клавиш, а также скачивать файлы и пароли с ПК. StormBamboo использовали уязвимые механизмы обновления программ, такие как HTTP, которые не проверяют цифровые подписи установочных файлов. Для ИТ-атаки на ресурсы предположительно использовался софт CATCHDNS, популярный в среде Linux.

В одном из инцидентов было установлено, что StormBamboo отравляли DNS-запросы, перенаправив их на сервер в Гонконге с IP-адресом 103.96.130[.]107. После уведомления ISP от Volexity и совместной работы по устранению уязвимостей, взломы прекратились.

Кибератака StormBamboo на интернет-провайдера и последующее заражение пользователей через отравление DNS-запросов показывает, насколько сложными и продуманными могут быть действия хакеров.

Последствия отравления кэша DNS

Концепция DNS не приспособлена к специфике современного интернета, хоть со временем DNS был усовершенствован, однако сейчас по-прежнему достаточно одного неправильно настроенного DNS-сервера, чтобы миллионы пользователей ощутили на себе последствия.

В системе DNS кэширование - это процесс временного хранения записей DNS в ОС, браузере, устройстве или сети. Записи DNS преобразуют понятные человеку доменные имена, такие как example.com, в соответствующие IP-адреса, такие как 2001:db8:3e8:2a3::b63, которые могут быть поняты компьютерами и устройствами. Храня информацию DNS локально, кэширование DNS позволяет быстрее преобразовывать или «разрешать» домены, одновременно сокращая сетевой трафик.

Система DNS разработана для того, чтобы люди могли использовать легко запоминающиеся доменные имена при навигации в интернете, вместо того, чтобы запоминать конкретные IP-адреса. По этой причине DNS похожа на GPS для интернета. Когда конечный пользователь вводит доменное имя, например example.com, в браузер, устройство пользователя создает DNS-запрос, предназначенный для поиска соответствующего IP-адреса из системы DNS-серверов, содержащей эту информацию. Авторитетные DNS-серверы хранят официальные записи DNS. Рекурсивные DNS-серверы ускоряют ответы, направляя запросы на нужный авторитетный сервер или создавая требуемую информацию из записей DNS, хранящихся в их памяти или кэше.

В системе DNS существует несколько типов кэширования. Всякий раз, когда пользователь или машина инициирует запрос DNS, ответ может быть сохранен во временной памяти или кэше ОС и браузера пользователя или на любом из рекурсивных серверов, участвующих в поиске. Каждая запись DNS имеет значение времени жизни (TTL), которое определяет, как долго записи могут храниться в кэше перед удалением, заставляя серверы и операционные системы искать обновленную запись.

Кибератака на WikiLeaks, когда злоумышленники с помощью отравления кэша DNS перехватывали трафик, перенаправляя его на собственный клон сайта. Целью этой ИТ-атаки было увести трафик с WikiLeaks, и она достигла определенного успеха. Отравление кэша DNS весьма непросто обнаружить обычным пользователям. В настоящее время система DNS построена на доверии, и это является ее слабым местом. Пользователи чересчур сильно доверяют DNS и никогда не проверяют, соответствует ли адрес в их браузере тому, что им в действительности нужно. Хакеры же пользуются этой беспечностью и невнимательностью для кражи учетных данных и другой важной информации.