De schaduwzijde van hybride cloud: hoe criminelen leven op oude DNS-records
- Aanvallers misbruiken oude DNS-records om subdomeinen van organisaties over te nemen.
- Gekaapte domeinen worden ingezet voor fraude, malvertising en phishing.
- Regelmatige DNS-controle en opschoning zijn cruciaal om dit te voorkomen.
Criminelen kapen subdomeinen via oude DNS-records. Ontdek hoe vergeten koppelingen jouw cloudomgeving kwetsbaar maken.
Een recent aan het licht gekomen aanvalstechniek maakt gebruik van een blinde vlek in veel cloudomgevingen: vergeten, maar technisch nog steeds bestaande koppelingen. Door misbruik te maken van oude DNS-records die nog verwijzen naar inmiddels ongebruikte cloud services – zoals achtergelaten S3-buckets of uitgefaseerde Azure-endpoints – weten aanvallers subdomeinen van grote, internationaal opererende organisaties over te nemen. De vraag is niet óf zij dat proberen, maar hoe organisaties zich hiertegen kunnen wapenen.
Een sprekend voorbeeld van zo’n dreigingsactor is de groep die Hazy Hawk wordt genoemd. Deze criminele organisatie heeft wereldwijd subdomeinen weten te kapen van onder meer dienstverleners als Deloitte, EY (Ernst & Young) en PwC (PricewaterhouseCoopers), overheidsdiensten waaronder het Amerikaanse CDC en het Australische ministerie van Volksgezondheid, toonaangevende universiteiten zoals Berkeley, en multinationals zoals TED en Honeywell.
Die gekaapte subdomeinen worden vervolgens ingezet voor uiteenlopende frauduleuze activiteiten: van malvertising en malware hosting tot het manipuleren van webverkeer via advertentienetwerken. Omdat het hierbij gaat om domeinen van organisaties met een sterke reputatie, lukt het aanvallers vaker om beveiligingsfilters te omzeilen en profiteren zij van een hogere zichtbaarheid in zoekmachines.
Hoe domeinkaping in de praktijk verloopt
Zo’n overname van een subdomein – vaak aangeduid als domain hijacking of subdomain take-over – verloopt doorgaans in een aantal stappen:
- Criminelen zoeken naar cloud resources die niet langer actief worden gebruikt, maar waarvan het bijbehorende DNS-record nog gewoon bestaat.
- Die verlaten resource (bijvoorbeeld een S3-bucket of een Azure-app) wordt vervolgens opnieuw geregistreerd, waardoor aanvallers direct de controle krijgen over het gerelateerde subdomein.
- Met dat subdomein in handen kunnen ze malafide webpagina’s hosten, bezoekers omleiden naar schadelijke content of adware- en phishingcampagnes uitrollen.
Door verschillende technieken te combineren voor omleiding, URL-masking en het klonen van bestaande webpagina’s, blijft het werkelijke doel van deze campagnes vaak goed verborgen. De fraudepagina’s lijken in veel gevallen sterk op het oorspronkelijke domein. Bezoekers worden bijvoorbeeld verleid met video’s of aantrekkelijke downloads, waarna ze via een keten van advertentienetwerken en malafide sites worden doorgestuurd.
De kern van het probleem: achterblijvende DNS-records
De onderliggende zwakte zit dieper en ligt in het fundament van het internet: het Domain Name System (DNS). DNS-records fungeren als adresboek voor webverkeer. Wanneer organisaties workloads migreren, cloudprojecten beëindigen of architecturen herzien, worden DNS-records lang niet altijd netjes opgeschoond.
Als een DNS-record blijft verwijzen naar een cloudservice die formeel niet meer bestaat, ontstaat er een opening: een aanvaller kan exact die resource opnieuw registreren en daarmee vrijwel direct het bijbehorende subdomein claimen – zonder ook maar één intern systeem van de organisatie zelf te hoeven compromitteren.
Groepen als Hazy Hawk weten deze verlaten resources op te sporen. Dat is bepaald geen triviale exercitie, maar in een wereld van complexe, hybride cloudomgevingen is het voor veel organisaties lastig om een volledig en actueel overzicht van alle DNS-records te behouden, zeker na reorganisaties, fusies of grote transformatieprojecten. Die combinatie van complexiteit en fragmentatie maakt de inspanning voor criminelen de moeite waard.
Het grotere plaatje: affiliate-fraude en misbruik van pushmeldingen
Deze aanvalsvorm is meestal niet primair gericht op spionage of massale datadiefstal, maar maakt deel uit van een breder ecosysteem van online advertentiefraude. Gebruikers worden via zogeheten Traffic Distribution Systems (TDS) naar specifieke pagina’s geleid, met één doel: de opbrengsten uit affiliate-netwerken en malafide pushnotificaties maximaliseren.
Een veelgebruikte tactiek is om bezoekers — onder een misleidend voorwendsel — ertoe te bewegen browsermeldingen in te schakelen. Zodra die toestemming is gegeven, kunnen gebruikers langdurig worden bestookt met valse aanbiedingen, phishingpogingen en schadelijke links — waaronder infostealers. Die stroom aan meldingen gaat vaak door, ook als de oorspronkelijke site allang uit beeld is.
Waarom deze aanvallen zo hardnekkig zijn
Het tegengaan van dit soort aanvallen is om meerdere redenen complex. Allereerst is het technisch uitdagend om kwetsbare of ‘vergeten’ DNS-records in kaart te brengen in een moderne, hybride cloudomgeving. Aanvallers beschikken bovendien over ruime hoeveelheden publiek en semi-publiek beschikbare DNS-data, die zij zeer gericht kunnen analyseren, aangevuld met flink wat rekenkracht.
Zodra een subdomein van een betrouwbare organisatie is overgenomen, liften criminelen mee op het bijbehorende vertrouwen. Dat zorgt ervoor dat veel gangbare beveiligingsmaatregelen – van e-mailfilters tot webfilters – minder snel ingrijpen. Tegelijkertijd blijven dreigingsactoren als Hazy Hawk hun werkwijzen verfijnen om detectie te omzeilen. De financiële prikkel is aanzienlijk: affiliate-fraude en malafide pushmeldingen leveren in de praktijk veel geld op.
Wat organisaties kunnen doen tegen domeinkaping
De meest effectieve vorm van bescherming begint bij strak beheer van de DNS-records. Dat betekent: regelmatig inventariseren, opschonen en bijwerken van alle entries, in het bijzonder na het uitfaseren van cloudservices of andere grote IT-wijzigingen. DNS-hygiëne hoort daarbij expliciet onderdeel te zijn van change- en decommission-processen.
Daarnaast is goede afstemming tussen alle betrokken teams cruciaal – ook met externe partijen zoals leveranciers en integrators. Zo verklein je de kans dat DNS-records ‘tussen wal en schip’ raken, bijvoorbeeld na overdracht van projecten of na een migratie. En mocht er toch een succesvolle domeinkaping plaatsvinden, dan is een helder en geoefend responsplan essentieel om snel in te grijpen.
Voor eindgebruikers blijft alertheid minstens zo belangrijk. Activeer alleen browsermeldingen op sites die je daadwerkelijk kent en vertrouwt. Verschijnen er onverwachte of ongewenste notificaties, schakel die dan direct uit via de instellingen van de browser. DNS-beveiligingsoplossingen kunnen een extra verdedigingslaag bieden door bekende malafide domeinen te blokkeren – zelfs als die er op het eerste gezicht legitiem uitzien.
Uiteindelijk ontstaat de beste verdediging door een combinatie van technische maatregelen, procesdiscipline en bewustwording bij gebruikers.
Waarom DNS-hygiëne niet langer optioneel is
De werkwijze van groepen zoals Hazy Hawk onderstreept hoe cruciaal zorgvuldig cloudbeheer en DNS-hygiëne zijn geworden. Nu (hybride) cloudlandschappen steeds complexer en diffuser worden, is structurele aandacht voor basisprotocollen zoals DNS geen luxe, maar een randvoorwaarde.
Je kunt het vergelijken met drinkwater: wie de kraan opendraait, gaat ervan uit dat de leidingen schoon zijn en dat er geen ongewenste verontreinigingen meekomen. Voor DNS geldt in feite hetzelfde principe. Alleen door de ‘leidingen’ van je netwerk schoon te houden en actief te filteren, voorkom je dat vervuiling via vergeten cloud resources en gekaapte subdomeinen ongemerkt je digitale omgeving binnendringt.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee