BC: ФБР и АНБ предупредили об использовании хакерами техники Fast Flux

Федеральное бюро расследований (ФБР), Агентство национальной безопасности (АНБ) США и Агентство по кибербезопасности и инфраструктурной безопасности (CISA) совместно с международными партнерами по кибербезопасности выпустили предупреждение для организаций и DNS-провайдеров о растущей угрозе, связанной с использованием хакерами техники Fast Flux (Быстрый поток). Об этом сообщает издание Bleeping Computer (BC). Fast Flux — это DNS-техника, используемая для уклонения от обнаружения и создания отказоустойчивой инфраструктуры, необходимой для управления и контроля (C2), фишинга и распространения вредоносного программного обеспечения. Суть техники заключается в быстрой смене DNS-записей, включая IP-адреса. Это осложняет для специалистов по безопасности отслеживание источника вредоносной активности и ее блокировку. Часто Fast Flux реализуется с использованием ботнетов — сетей зараженных компьютеров, которые выступают в качестве прокси или ретрансляторов для обеспечения этих быстрых переключений. В бюллетене CISA выделены два основных типа техники: — Single Flux (Одинарный поток). Злоумышленники часто меняют IP-адреса, связанные с доменным именем, в ответах DNS-сервера. — Double Flux (Двойной поток). В дополнение к ротации IP-адресов сами DNS-серверы имен также быстро меняются, создавая дополнительный уровень запутывания и затрудняя попытки блокировки. CISA отмечает, что Fast Flux широко используется злоумышленниками всех уровней — от рядовых киберпреступников до высококвалифицированных хакеров, спонсируемых государствами. В качестве примеров агентство приводит случаи использования Fast Flux группировкой Gamaredon, программами-вымогателями Hive и Nefilim, а также поставщиками "пуленепробиваемого" хостинга. Все они применяют эту технику для уклонения от правоохранительных органов и сокрытия своих операций от блокировки.