研究者によると、金銭目的の脅威アクターが数十のDNS(ドメインネームシステム)リゾルバーをハッキングし、それらを、犯罪とのつながりを理由に米財務省から制裁を受けたロシアのブレットプルーフ・ホスティングサービスのインフラに接続していた。
ネットワークセキュリティ企業Infobloxは火曜日のブログ投稿で、設定が改ざんされ、DNSクエリをAeza Internationalがホストするシャドーリゾルバーへ転送するようにされた侵害済みルーターを観測したと述べた。財務省は7月、Aezaが複数のサイバー犯罪グループと結び付けられたことを受け、Aezaおよび同社の幹部をドル決済システムから遮断した(参照:米国、インフォスティーラーとランサムウェアをホスティングしたAezaグループを制裁)。
シャドーAezaシステムは通常、GoogleやFacebookのような非常に人気の高いドメインを正しいIPアドレスに解決していた。予測不能な間隔で行われる一部のDNSクエリには、マルウェアや詐欺などの悪意あるコンテンツが返された。Infobloxは、この作戦(2022年半ばから稼働していたようだ)を、「アフィリエイトマーケティング領域の、金銭目的の無名アクター」によるものだとした。
「これだけは強調してもしきれません。DNSリゾルバーは権力を持つ立場にあるのです」とInfobloxは記した。
ハッカーは古いルーターを標的にしたが、2025年にはRedditユーザーの1人が、インターフェースが誤ってインターネットに公開されていた仮想ルーターがハッカーに侵害されたと訴えた。ハッカーはユーザーをrootアカウントから締め出し、暗号資産マイナーを仕込んだ。
この脅威アクターは、DNSハイジャックを、ユーザーをフィンガープリントして2つの異なるアドテックプラットフォームへ誘導するために用いられるトラフィック配信システムと組み合わせていた。
この活動がこれほど長期間検知されなかった理由の一つは、シャドーリゾルバーが特定の形式のDNSクエリにのみ応答する点にある可能性がある。具体的には、Infobloxによれば、ハッカーはEDNS(DNS拡張機構)を無効化していた。これは、元のプロトコル仕様を超えてDNSクエリのサイズを拡張するための広く普及した手法だ。「ほとんどのDNSリゾルバーはEDNS0を有効にしているため、Aezaホストへのクエリは通常、不正な形式の応答になる」と同社は述べた。
Infobloxの脅威インテリジェンス担当バイスプレジデントであるRenée Burton氏はメールで、「この活動は、DNS解決の完全性が企業と家庭の双方を守るうえで極めて重要であることを思い起こさせる。これがなければ、組織は自社デバイスがどこに接続しているのかを制御できない」と述べた。
ルーター(特に小規模オフィス/ホームオフィス向けのルーター)は、その所有者の大半が更新をインストールしない傾向にあるため、恒常的にハッキングの標的となっている。英国のブロードバンド比較サイトの利用者3,000人超を対象にした2025年の調査では、ユーザーの84%がルーターのファームウェアを一度も更新しないと回答した。
メーカーは、ルーターがファームウェア更新を自動的に受け取れるようにする点では改善してきたが、サポート終了(EOL)のルーターは、見た目には通常どおり動作し続けているにもかかわらず、サポートされない。FBIは2025年5月、SOHOルーターの所有者に対し、サポートされていない機器はアップグレードするか、少なくともリモート管理を無効化するよう注意喚起した。
翻訳元: https://www.databreachtoday.com/sanctioned-bulletproof-host-tied-to-dns-hijacking-a-30723
