Десятки престижных учебных заведений, включая Беркли, Колумбийский университет и Университет Вашингтона в Сент-Луисе, столкнулись с масштабным захватом своих субдоменов. Из-за халатности системных администраторов на официальных образовательных ресурсах начали размещаться порнографические материалы и мошеннический контент.
Масштабы проблемы и риски для пользователей
Согласно отчету эксперта по кибербезопасности Алекса Шахова, сотни субдоменов как минимум 34 высших учебных заведений были скомпрометированы. В поисковой выдаче Google зафиксированы тысячи страниц на доменах berkeley.edu, columbia.edu и washu.edu, ведущих на ресурсы для взрослых. В некоторых случаях пользователи перенаправлялись на сайты мошенников, которые имитировали заражение компьютера вирусом и предлагали оплатить удаление несуществующего вредоносного ПО.
В обзоре отмечается, что злоумышленники используют высокую репутацию университетских доменов в поисковых системах. Благодаря этому вредоносные ссылки часто оказываются в верхней части результатов поиска, вызывая доверие у рядовых пользователей.
Механизм захвата: «висячие» CNAME-записи
Эксперты связывают проблему с техническими ошибками в управлении DNS-записями. Когда университет создает новый субдомен, администраторы добавляют CNAME-запись — это параметр в настройках доменных имен, который связывает один адрес с другим. Однако после завершения работы над проектом или закрытия лаборатории субдомен часто отключают, а саму запись из базы данных не удаляют.
Такие «висячие» записи становятся легкой добычей для киберпреступников, в частности для группировки Hazy Hawk. Злоумышленники выявляют заброшенные адреса и привязывают их к своим серверам, фактически получая контроль над частью официального университетского сайта.
Почему университеты оказались уязвимы
В исследовании выделяется несколько причин, по которым образовательные учреждения стали мишенью для подобных атак:
- Децентрализованная структура: кафедры, лаборатории и студенческие организации часто создают субдомены самостоятельно без централизованного контроля.
- Отсутствие процедуры вывода из эксплуатации: при увольнении сотрудников или закрытии групп созданные ими DNS-записи остаются активными десятилетиями.
- Технические особенности: у CNAME-записей нет срока действия, и администраторы не получают уведомлений, когда целевой ресурс перестает отвечать.
Необходимые меры безопасности
Для предотвращения подобных инцидентов ИТ-отделам рекомендуется вести строгий учет всех созданных субдоменов с указанием их назначения и соответствующих CNAME-записей. В обзоре подчеркивается необходимость проведения регулярных аудитов для выявления неактивных адресов и их немедленного удаления из системы.
По состоянию на текущий момент лишь небольшая часть затронутых университетов приняла меры по очистке своих сетей. При этом даже после удаления записей многие вредоносные ссылки продолжают отображаться в кэше поисковиков, так как администраторы не подали своевременные запросы на исключение страниц из индексации.
