Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Domainien eli verkkotunnusten kaappaukset ei ole uusi ongelma, mutta niistä voi tulla laajoja hankaluuksia, jos vastatoimet eivät ole riittäviä. Viimeisen runsaan puolen vuoden aikana on tullut esiin muutamia harmillisia tapauksia.

Kyberrikolliset käyttävät yhä enemmän laillisia ja maineeltaan kunnollisia domaineja peitelläkseen rikollista toimintaansa internetissä. Viime aikoina yleistyneet ns. ”toimitusjohtaja” -sähköpostikampanjoiden taustalta on paljastanut yhä useammin domain -kaappauksia.

  • Kyberrikolliset käyttävät useita menetelmiä päästäkseen käsiksi laillisiin domaineihin: tietojen kalastelu, sosiaalinen manipulointi, DNS -ohjelmistojen haavoittuvuuksien hyväksikäyttö sekä haittaohjelmat, joiden avulla päästään käsiksi pahaa-aavistamattoman käyttäjän tietoihin.
  • Kohdedomainin DNS-tietoihin käsiksi päästyään, rikolliset luovat uusia alidomaineja (domain shadowing), jotka osoittavatkin toisiin IP-alueisiin, jotka ei mitenkään liity alkuperäiseen domainiin. Vaihtoehtoisesti rikolliset muuttavat nimipalvelimen osoittamaan uuteen sijaintiin.
  • DNS-muutosten jälkeen, rikolliset käyttävät maineeltaan kunnollista domainia roskapostin ja haittaohjelmien levittämiseen. Tarkoituksena on kerätä käyttäjätietoja, tartuttaa haittaohjelmia ja häiritä käyttäjiä ja yrityksiä omiin rikollisiin tarkoituksiinsa. Varastettujen domainien positiivisen maineen avulla rikolliset voivat kiertää roskapostisuodattimia ja muita varokeinoja, jotka ovat riippuvaisi mainetiedoista.

Olisi siis varsin loogista odottaa, että verkkotunnusten rekisteröinnistä vastaavat yritykset olisivat hyvin selvillä mitä heidän toimialallaan tapahtuu ja suojaisivat asiakkaitaan haitalliselta toiminnalta. Tietoverkkojen suojaukseen erikoistuneen yrityksen, Spamhausin, tutkijat ovat kuitenkin havainneet, että yksi maailman suurimmista verkkotunnusten rekisteröintiyrityksistä GoDaddy ei ole ollut lainkaan aktiivinen lieventääkseen ongelmaa. Spamhaus julkaisi helmikuussa artikkelin otsikolla What is going on at GoDaddy? Vaikka artikkelista on jo muutama kuukausi, edelleen tulee esille tapauksia, joissa sinänsä laillisesti rekisteröityjä domaineja on kaapattu rikollisiin tarkoituksiin.

Tarinan alussa on ”Boom”

Viimeisen runsaan puolentoista vuoden aikana sattuneet tapaukset ovat herättäneet huolta GoDaddyn sitoutumisesta huolehtimaan sen asiakkaisiin kohdistuvista uhista, vaikka sinänsä juuri GoDaddyyn liitetyt kaappaukset ovat olleet vähenemässä, ja kaappauksia on ilmennyt myös muualla.

Tammikuussa 2019 raportoitiin, että venäläinen hakkeriryhmä Spammy Bear oli kaapannut noin 4000 domainia, joiden nimissä lähetettiin kiristysohjelmia. Ryhmä oli hyödyntänyt GoDaddyn DNS -rekisteröintiohjelmassa ollutta haavoittuvuutta. Kyberturvallisuudesta arvostettuja artikkeleita kirjoittavan Brian Krebsin mukaan kyseisen haavoittuvuus liittyi havaintoihin, jotka tutkija Matthew Bryant julkaisi jo vuonna 2016.

GoDaddyn korjausvakuutteluista huolimatta seuraava roskapostikampanja tapahtui jo helmikuussa 2019.

Kahden laajalle levinneen artikkelin ja kerrotun korjauksen jälkeen kaappauksesta määrä ei ole kuitenkaan laskenut, vaan on jatkanut kasvuaan. Vuoden 2019 kesäkuussa Spamhausin tutkijat havaitsivat, että n. 10.000 sinänsä laillisella domainilla on varjodomain, joiden osoitteet viittasivat venäläsiiin toimijoihin. GoDaddy ei vastannut Spamhausin tutkijoiden suoriin yhteydenottoihin.

Sama toistui joulukuussa 2019. Spamhausin mukaan heidän tutkijansa ovat havainneet päivittäin keskimäärin 100 uutta kaapattua verkkotunnusta, joten heidän mielesätään on edelleen perusteltua esittää uudelleen kysymys ”What is going on over at GoDaddy?”.

Mitä tehdä jos Spamhaus on listannut kaappauksen kohteeksi joutuneet domainit vaarallisiksi

Jos havaitaan että domainisi on kaapattu, pitää ottaa heti yhteyttä rekisteröintiyritykseen tai -yhteisöön (kuten GoDaddy). Rekisteröintiyrityksen tehtävänään on puhdistaa ja palauttaa käyttäjätili sekä domainin tiedot. Tämän jälkeen Spamhaus voi palauttaa merkinnän omassa listauksessaan.

Lisätietoja domain-kaappauksista webinaarissa 16.6.2020

Mint Security ja Spamhaus järjestävät webinaarin aiheesta ti 16.6.2020 klo 15-16. Webinaarissa Spamhausin asiantuntija Matt Stith kertoo millaisia menetelmiä kaappausten tutkinnassa ja etsinnässä käytetään. Samoja menetelmiä voivat käyttää myös domainien omistajat ja rekisteröijät suojautuakseen kaappauksilta.

Protect and investigate using threat intelligence data

Domain-kaappaukset

Domainien eli verkkotunnusten kaappaukset ei ole uusi ongelma, mutta niistä voi tulla laajoja hankaluuksia, jos vastatoimet eivät ole riittäviä. Viimeisen runsaan puolen vuoden aikana on tullut esiin muutamia harmillisia tapauksia.

Lue lisää »
Spamhaus Botnet Report 2019 - Blocklists

Spamhaus – muutakin kuin spämmintorjuntaa

Spamhaus kerää ja toimittaa tunnettujen roskapostilähteiden lisäksi myös erittäin korkealaatuista ja tarkkaa threat intelligence -tietoa botneteistä, haittaohjelmia levittävistä ja tartunnan saaneista koneista, epäilyttävästi käyttäytyvistä kotireitittimistä, älytelevisioista ja muista verkkoon kytketyistä laitteista.

Lue lisää »
Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.