Двое исследователей, создавшие домены-двойники для того, чтобы имитировать легальные домены, принадлежащие компаниям из списка Fortune 500, говорят, что более чем за 6 месяцев они получили до 20 Гб неправильно адресованных электронных писем.
Захваченная переписка содержала системные имена и пароли сотрудников, конфиденциальную информацию о конфигурации сетей компаний, которая могла быть полезна хакерам, показания и другие документы, связанные с защитой в судебных процессах, в которых участвовали компании, а также коммерческую тайну, такую как контракты на бизнес транзакции.
“Двадцать гигов информации — это большое количество информации, добытой без особого труда за шесть месяцев”, – говорит исследователь Питер Ким из Godai Group. “И никто даже не знал, что это происходит”.
Домен-двойник — это домен, который имеет почти такое же название, как легальный домен, но оно совсем немного отличается. Например, отсутствует разделитель субдомена от названия основного домена – как в случае seibm.com и se.ibm.com, который IBM использует для своего отделения в Швеции.
Ким и его коллега Гарет Ги, опубликовавшие свою научную работу на прошлой неделе, обсуждая свое исследование рассказали, что 30% из 151 компании, входящих в список Fortune 500, были потенциально уязвимы к захвату электронной почты с помощью таких схем, в том числе ведущие компании в сферах производства потребительских продуктов, технологий, банковского бизнеса, интернет-связи, средств массовой информации, аэрокосмической, оборонной, и компьютерная безопасности.
Исследователи также обнаружили некоторое количество доменов-двойников, появившихся в Китае. Они полагают, что шпионы могут уже использовать их для перехвата ценной корпоративной информации.
Компании, которые используют поддомены – например, для подразделений, расположенных в различных странах – уязвимы для перехвата информации, их почта может быть перехвачена в случае если пользователи ошиблись при вводе адреса электронной почты получателя. Все, что нужно сделать злоумышленнику, это зарегистрировать домен-двойник и изменить настройки сервера электронной почты, чтобы в полном объеме получать всю корреспонденцию на имя любого в этом домене. Злоумышленник опирается на тот факт, что пользователи всегда совершают определенный процент ошибок при отправке электронных писем.
“Большинство [уязвимых компаний] имели только один или два поддомена”, – говорит Ким. “Но некоторые из крупных компаний имеют по 60 поддоменов и могут быть очень уязвимы”.
Для проверки уязвимости, исследователи создали 30 учетных записей-двойников для различных фирм и обнаружили, что учетные записи привлекли 120 000 электронных писем за шестимесячный период тестирования.
Среди собранных электронных писем было, например, одно, содержавшее все конфигурации для внешних маршрутизаторов Cisco крупной консалтинговой IT-фирмы, вместе с паролями для доступа к устройствам. Другое письмо было направлено компании за пределами США, управляющей системой платных автомагистралей и содержало информацию для получения полного VPN-доступа к системе, обеспечивающей работу платных автомагистралей. Письмо содержало информацию о программном обеспечении, имена пользователей и пароли.
Исследователи также собрали большую коллекцию счетов, контрактов и отчетов. Одно электронное письмо содержало контракты на поставки нефти с Ближнего Востока крупным нефтяным фирмам, а в другом, находился ежедневный отчет крупной нефтяной компании, где было подробно изложено количество всех отгруженных танкеров на текущий день.
Третье электронное письмо содержало отчет ECOLAB, сделанный для популярного ресторана, включающий и информацию о проблемах ресторана с мышами. ECOLAB – фирма из Миннесоты, которая обеспечивает дезинфекцию и безопасность пищевых продуктов и услуг для других компаний.
Захват информации компании — не единственная угроза. Исследователи также смогли собрать персональные данные о благосостоянии сотрудников, включая выписки по кредитным картеам и информацию, которая помогла бы получить доступ к банковским онлайн-счетам работников.
Вся эта информация была получена пассивно, просто путем создания домена-двойника и почтового сервера. Но кто-нибудь может провести активную атаку между двумя организациями, состоящими в переписке. Злоумышленник может создать домен-двойник для обоих организаций и ждать, когда корреспонденция, отправленная с ошибкой в адресе, придет на сервер-двойник, а затем написать сценарий для пересылки электронной почты законному получателю.
Например, злоумышленник может приобрести домен-двойник для uscompany.com и usbank.com. Когда кто-то с us.company.com опечатается в адресе электронного письма “usbank.com” вместо “us.bank.com”, злоумышленник получит его, а затем перешлет на us.bank.com. До тех пор, пока получатель не заметит, что письмо пришло с неверного адреса, он будет отсылать письма на него же, тем самым, отправляя письма прямо злоумышленнику на домен-двойник uscompany.com . Скрипт атакующего перенаправит корреспонденцию прямо на адрес us.company.com.
Некоторые компании пытаются защитить себя от ущерба, наносимого доменами-двойниками, путем скупки всех вариаций своих доменных имен. Но исследователи обнаружили, что многие крупные компании, которые используют поддомены, не смогли защитить себя таким образом. Они обнаружили, что в случае с некоторыми компаниями их домены-двойники уже были захвачены субъектами, находящимися в Китае – некоторые из которых могут быть связаны с прошлыми вредоносными атаками, проведенными через учетные записи электронной почты, которыми компании пользовались прежде.
Некоторые компании, чьи домены-двойники уже захвачены неизвестными в Китае, это Cisco, Dell, HP, IBM, Intel, Yahoo и Manpower. Например это китайский домен kscisco.com, домен-двойник для ks.cisco.com. Другой пользователь, который находится в Китае, зарегистрировал nayahoo.com – вариант легального домена na.yahoo.com (субдомен для Yahoo в Намибии).
Ким сказал, что из 30 доменов-двойников, созданных исследователями, только одна компания заметила, что они зарегистрировали домен и пригрозила им судебным процессом, если они не откажутся от права собственности на него, что они и сделали.
Он также сказал, что из 120 тысяч электронных писем, что люди по ошибке отправили на их домены-двойники, только два отправители указали, что они заметили ошибку. Один из отправителей послал следом электронное письмо с вопросом в нем, возможно, чтобы проверить, вернется ли оно обратно. Другой пользователь послал по электронной почте запрос на тот же адрес с вопросом, куда попала его почта.
Компании могут частично решить проблему, скупая любые доступные им домены-двойники. Но в случае, когда домен уже принадлежит третьему лицу, Ким рекомендует компаниям так настраивать свои сети, чтобы блокировать DNS и пересылку работниками внутренних электронных сообщений с неправильно написанным адресом, которые могут попасть на домен-двойник. Это не помешает кому-то перехватывать электронные письма, которые третьи лица отправляют на домены-двойники, но, по крайней мере, сократит количество корреспонденции, которую смогут захватить злоумышленники.