“Dengiz toshbaqasi” DNS-ni oʻgʻirlash kampaniyasi internetga boʻlgan ishonchni yoʻqqa chiqarmoqda.
Deyarli ikki yil davomida 13 mamlakatdagi 40 dan ortiq tashkilot kampaniya qurboniga aylandi.
Cisco Talos tadqiqot guruhi tadqiqotchilari «Dengiz toshbaqasi» deb nomlangan keng ko’lamli kampaniya tafsilotlarini oshkor qilishdi, unda hujumchilar DNS o’g’irlash orqali hisob ma’lumotlarini o’g’irlashadi. Operatsiya qariyb ikki yildan beri davom etmoqda va shu vaqt ichida o’n uchta mamlakatda qirqdan ortiq tashkilot qurbon bo’ldi. Kampaniyaning murakkabligi shundan dalolat beradiki, u hukumat homiyligidagi guruh tomonidan boshqarilayotgan, ammo mutaxassislar hali biron bir aniq mamlakatning ishtirokini aniqlay olishmagan. Nishonlar orasida Yaqin Sharq va Shimoliy Afrikada joylashgan razvedka agentliklari, harbiy tashkilotlar, energetika kompaniyalari, telekommunikatsiya kompaniyalari va internet-provayderlar bor.
DNS oʻgʻirlash hujumchilarga maqsadli tashkilotlarning hisob maʼlumotlarini olish va DNS yozuvlarini boshqarish imkonini beradi, shu bilan birga jabrlanuvchilar hujum ostida ekanliklarini bilishmaydi. Ushbu yozuvlardan foydalanib, hujumchilar trafikni aslida jinoyatchilarning serverlari boʻlgan qonuniy koʻrinadigan veb-saytlarga yoʻnaltirishlari mumkin.
Mutaxassislarning ta’kidlashicha, hozirgi kampaniya o’tgan yili fosh qilingan DNSpionage operatsiyasidan, jumladan, uning yanada tajovuzkor tabiati bilan farq qiladi. Dengiz toshbaqasi hujumchilari 16 ta serverdan, shuningdek, DNS o’g’irlash haqidagi xabarlarda ilgari tilga olingan bir nechta IP-manzillardan foydalanganlar. Ayniqsa, kiberjinoyatchilarning jasorati emas, balki ular internetga bo’lgan ishonch poydevorini buzayotgani tashvishga solishi kerak.
Shunisi e’tiborga loyiqki, turli DNS o’g’irlash kampaniyalari haqidagi ma’lumotlarning nashr etilishi natijasida yuzaga kelgan ommaga qaramay, «Dengiz toshbaqasi» guruhi o’z faoliyatini to’xtatmadi. Bu xatti-harakatlar hukumat tarafdorlari uchun juda noodatiy holat bo’lib, ular odatda jinoyat ustida qo’lga olinganda faoliyatini to’xtatadilar.
Tadqiqotchilarning tushuntirishicha, har bir hujum maqsadli tashkilotlarning ma’lumotlarini olish uchun fishing yoki xakerlik hujumi bilan boshlanadi. Keyin hujumchilar DNS registriga kirish huquqini qo’lga kiritadilar va qurbonlarning elektron pochtasi va veb-trafikini ushlab qolish uchun o’rtadagi odam hujumini amalga oshiradilar. O’z faoliyatlarini yashirish uchun hujumchilar turli choralarni ko’radilar, jumladan, soxta Let’s Encrypt, Comodo yoki Sectigo sertifikatlaridan foydalanadilar.
DNS infratuzilmasining buzilishining tarqalishini to’xtatishning bir usuli registrni blokirovka qilish bo’lishi mumkin – domen sozlamalarini o’zgartirishga urinishlar qilinganda egalari uchun bir qator qo’shimcha autentifikatsiya choralari va bildirishnomalar. Biroq, tadqiqotchilarning ta’kidlashicha, ko’plab registrlar hali ham bu xususiyatni taqdim etmaydi; bunday hollarda foydalanuvchilarga ikki faktorli autentifikatsiyani yoqish tavsiya etiladi.
