Федеральное бюро расследований (ФБР), Агентство национальной безопасности (АНБ) США и Агентство по кибербезопасности и инфраструктурной безопасности (CISA) совместно с международными партнерами по кибербезопасности выпустили предупреждение для организаций и DNS-провайдеров о растущей угрозе, связанной с использованием хакерами техники Fast Flux (Быстрый поток). Об этом сообщает издание Bleeping Computer (BC).
Fast Flux — это DNS-техника, используемая для уклонения от обнаружения и создания отказоустойчивой инфраструктуры, необходимой для управления и контроля (C2), фишинга и распространения вредоносного программного обеспечения. Суть техники заключается в быстрой смене DNS-записей, включая IP-адреса. Это осложняет для специалистов по безопасности отслеживание источника вредоносной активности и ее блокировку.
Часто Fast Flux реализуется с использованием ботнетов — сетей зараженных компьютеров, которые выступают в качестве прокси или ретрансляторов для обеспечения этих быстрых переключений.
В бюллетене CISA выделены два основных типа техники:
— Single Flux (Одинарный поток). Злоумышленники часто меняют IP-адреса, связанные с доменным именем, в ответах DNS-сервера.
— Double Flux (Двойной поток). В дополнение к ротации IP-адресов сами DNS-серверы имен также быстро меняются, создавая дополнительный уровень запутывания и затрудняя попытки блокировки.
CISA отмечает, что Fast Flux широко используется злоумышленниками всех уровней — от рядовых киберпреступников до высококвалифицированных хакеров, спонсируемых государствами.
В качестве примеров агентство приводит случаи использования Fast Flux группировкой Gamaredon, программами-вымогателями Hive и Nefilim, а также поставщиками «пуленепробиваемого» хостинга. Все они применяют эту технику для уклонения от правоохранительных органов и сокрытия своих операций от блокировки.
Ранее был назван порядок действий при взломе смартфона мошенниками.
