Інформаційні матеріали щодо кібератак на інфраструктуру DNS
Одним із векторів атак, який може бути використаний підконтрольними спецслужбам рф хакерськими групами, є кібератаки на інфраструктуру сервісів доменних імен (DNS).
Довідково: Domain Name System (DNS) – це система доменних імен, яка являє собою ієрархічний децентралізований каталог іменування компʼютерів, служб чи інших ресурсів, які підключені до мережі Інтернет або окремої мережі. DNS забезпечує пошук та перехід користувачів на вебресурси (сервіси) шляхом коректної маршрутизації запиту користувача до кінцевої точки, забезпечуючи високий рівень релевантності таких запитів.
У разі некоректного налаштування DNS зловмисник матиме можливість здійснювати переадресацію запитів користувачів (маршрутизацію трафіку) на зловмисний ресурс (сервер).
Такі кібератаки хакерські групи, що діють за підтримки спецслужб рф, використовують не лише для викрадення даних, але також для проведення деструктивних інформаційних операцій з дискредитації військово-політичного керівництва України в умовах протидії повномасштабній збройній агресії рф.
Актуальність загрози пов’язана з помилками конфігурації, вразливими версіями серверів DNS, а також наявністю застарілих записів про ресурси.
Зловмисники можуть використати неактуальні записи для розміщення власних шкідливих ресурсів під виглядом реальних.
Результатом таких атак може бути перенаправлення користувачів вебсайтів на підконтрольні ворогу сервери, припинення функціонування сервісів, використання довірених доменів для поширення фішингу та здійснення інших видів кібератак від імені офіційних ресурсів.
Враховуючи викладене, невідʼємною умовою надійного кіберзахисту є систематичне вживання заходів, спрямованих на підвищення рівня кібербезпеки інфраструктури DNS.2.
Рекомендації щодо підвищення рівня кібербезпеки інфраструктури DNS
- Оновіть операційну систему та застосуйте посилені налаштування безпеки на серверах, які виконують роль DNS у організації;
- Оновіть програмне забезпечення серверу DNS;
- Перевірте конфігурацію серверу DNS організації: у налаштуваннях необхідно вимкнути віддалену перевірку версії програмного забезпечення DNS;
- перевірити ІР адреси вищих рекурсивних серверів, мають бути зазначені сервіси Protective DNS або відомі публічні DNS сервери;
- Забезпечте створення резервних копій конфігурації та доменних зон DNS серверів;
- Обмежте вихідний DNS трафік тільки на DNS сервер організації, сервіси Protective DNS або відомі публічні DNS сервери;
- Перевірте вміст зони на NS серверах: видаліть неактуальні записи, модифікуйте відповідним чином записи, що розкривають інформацію про інфраструктуру (наприклад, SPF записи);
- Обмежте трансфер зони тільки з ІР адрес внутрішньої мережі та інших довірених серверів DNS;
- Увімкніть двофакторну автентифікацію для доступу до консолі управління доменом у разі використання комерційного сервісу;
- Налаштуйте розширення безпеки DNSSEC для підпису записів ресурсів DNS.
