Уязвимость в GoDaddy позволяла «угонять» чужие домены
Злоумышленники захватили тысячи чужих доменов для рассылки спама.
Уязвимость в системах GoDaddy позволяла злоумышленникам «угонять» чужие домены. Именно это произошло в середине прошлого месяца, когда пользователей в США и Канаде накрыла волна спама. Злоумышленники массово рассылали уведомления о заложенных бомбах и угрожали взорвать их, если не получат $20 тыс., пишет Ars Technica. Как показало расследование, вымогатели похитили как минимум 78 доменов, принадлежащих крупным компаниям, в том числе Expedia, Mozilla и Yelp. С помощью этой же уязвимости киберпреступники захватили тысячи доменов, принадлежащих менее известным организациям, для использования в других спам-кампаниях. В ходе некоторых кампаний вымогатели шантажировали пользователей, угрожая опубликовать видео интимного характера с их участием.
По данным исследователя безопасности Рональда Гилмета (Ronald Guilmette), злоумышленники «угнали» порядка 4 тыс. доменов, принадлежащих 600 организациям и людям. Кто стоит за атаками, пока неизвестно, однако Гилмет назвал ответственную за них киберпреступную группировку Spammy Bear. Такой выбор названия объясняется тем, что для похищенных доменов использовались IP-адреса российского хостинг-провайдера reg.ru.
Техника, известная как «спам на снегоступах» (snowshoe spamming), существенно повышает вероятность попадания нежелательного письма в почтовый ящик, поскольку ослабляет используемые спам-фильтрами метрики репутации. Увеличение количества IP-адресов, с которых отправляются письма, затрудняет распознавание и захват спама фильтрами.
Поскольку практически все затронутые атаками домены пользовались услугами GoDaddy, Гилмет заподозрил, что всему виной может быть уязвимость в системе регистратора доменных имен. Исследователь обратился за комментариями к GoDaddy и получил ответ следующего содержания: «По результатам расследования наша команда подтвердила, что злоумышленник(и) неправомерно использовал наш процесс настройки DNS. Мы нашли решение и немедленно предприняли соответствующие меры. Хотя злоумышленникам удалось создать записи DNS на заброшенных доменах, учетные записи похищены не были, а информация клиентов осталась нетронутой».