UNESCO, Czerwony Krzyż, Siemens, Xerox, 3M, Warner Bros, Toshiba, Volvo, Hawaiian Airlines… Te subdomeny znajdują się na liście 240 przejętych stron internetowych, które należą do najbardziej znanych organizacji i marek na całym świecie. Okazuje się, że były wykorzystywane przez cyberprzestępców do dystrybucji złośliwego oprogramowania i rozszerzeń Chrome oraz przekierowywania użytkowników na strony związane z hazardem i pornografią.
Co je łączy? Wszystkie były hostowane przez Microsoft Azure.
O przejętych nazwach domen poinformował Zach Edwards z Victory Medium. W czerwcu zgłosił problem zarówno do Microsoftu jak i poszkodowanych firm.
Według Edwardsa większość subdomen została przejęta przez jedną grupę, która jego zdaniem była aktywna przez pięć lat. Według analizy ma ona poparcie międzynarodowego gangu przestępczego. Grupa jest o wiele bardziej zaawansowana i zautomatyzowana, niż się spodziewano – uderzyła w mnóstwo organizacji i przesłała jeszcze więcej złośliwego oprogramowania.
Hakerzy po przejęciu domeny próbowali ukryć swoją obecność poprzez wyświetlanie na subdomenach komunikatów typu “Coming soon” lub błędów 404.
Źródło zagrożenia. Największym problemem jest fakt, że wpisy DNS witryny są przejmowane głównie w wyniku sposobu ich hostowania, nie tylko przez Azure, ale sporą część dostawców hostingu. Problem ten polega na tym, że kiedy skończy się ważność subdomeny (powstałej np. na potrzeby kampanii marketingowej) i firma przestaje za nią płacić, nazwa ta staje się dostępna dla innej osoby – w tym cyberprzestępców. Poszukują oni takich wycofanych i zapomnianych nazw serwerów w chmurze, które nigdy nie zostały poprawnie usunięte z DNS.
Pełna lista znajduje się tutaj. Radzimy jednak NIE odwiedzać tych domen, ponieważ mogą one zainfekować urządzenie złośliwym oprogramowaniem. Około 20% z nich już zostało usuniętych.