Een onlangs ontdekte aanvalsmethode maakt gebruik van een onderbelichte zwakte in cloud-infrastructuren om ‘vergeten’ cloud resources te kapen voor grootschalige fraudecampagnes. Door misbruik te maken van vergeten DNS-records die verwijzen naar ongebruikte cloudservices – denk aan vergeten S3 buckets of Azure endpoints – weten criminelen subdomeinen van internationaal bekende organisaties over te nemen. Hoe kunnen zij zich hiertegen beschermen?
Een goed voorbeeld van een criminele actor die vergeten cloud resources gebruikt voor aanvallen is Hazy Hawk, zoals Infoblox Threat Intel hen noemt. De criminele groep, die Infoblox sinds mei 2025 op het spoor is, heeft wereldwijd subdomeinen overgenomen van onder andere overheidsinstanties (zoals het Amerikaanse CDC en het Australische ministerie van Volksgezondheid), vooraanstaande universiteiten als Berkeley en multinationals zoals Deloitte, EY, PwC, TED en Honeywell.
Deze subdomeinen worden gebruikt voor fraudecampagnes, malwareverspreiding en manipulatie van webverkeer via advertentienetwerken. En omdat de gekaapte domeinen toebehoren aan vertrouwde organisaties, slagen de criminelen er vaker in om beveiligingsfilters te omzeilen en hoog te scoren in zoekmachines.
Zo werkt domeinkaping:
- Eerst speuren criminelen cloud resources op die niet meer in gebruik zijn (verlaten), maar waarvan het DNS-record nog wel bestaat.
- Vervolgens registreren ze deze cloud resource (zoals een S3-bucket of Azure-app), waarmee ze direct het bijbehorende subdomein in handen krijgen.
- Het gekaapte subdomein kan daarna worden ingezet om malware-pagina’s te hosten, gebruikers door te sturen naar malafide content of adware en phishing te verspreiden.
Door meerdere methoden te combineren voor omleiding, URL-masking en gekloonde website-content, blijven de ware doeleinden van deze criminelen verhuld en moeilijk te detecteren. Veelal lijken deze scam-pagina’s veel op het ‘origineel’. Bezoekers worden daar bijvoorbeeld verleid met behulp van videocontent en aantrekkelijke downloads – waarna ze door een wirwar van advertentienetwerken en frauduleuze pagina’s worden geleid.
Het probleem: vergeten DNS-records
Het achterliggende probleem is wijdverspreid en heeft alles te maken met het Domain Name System (DNS). DNS-records functioneren als adressen voor internetverkeer. Wanneer organisaties diensten verplaatsen of cloudprojecten stopzetten, blijven DNS-records vaak achter. Als deze records nog steeds verwijzen naar een cloudservice die niet meer bestaat, kan een aanvaller deze registreren en onmiddellijk het bijbehorende subdomein overnemen, zonder ooit de interne systemen van de organisatie te hoeven hacken.
Criminele actoren zoals Hazy Hawk weten deze verlaten resources te vinden. Let wel, dat is niet gemakkelijk! Maar gezien de complexiteit en fragmentatie van cloudbeheer worstelen veel organisaties met het bijhouden van hun DNS-records (zeker na organisatorische veranderingen, fusies of grote projecten). En dat maakt het de moeite waard.
Het bredere plaatje: affiliate-fraude en pushnotificaties
Deze aanvalsmethode is niet bedoeld voor spionage of grootschalige datadiefstal, maar maakt deel uit van een breder ecosysteem van online advertentiefraude. Door gebruikers via Traffic Distribution Systems (TDS) te leiden, willen criminelen de inkomsten uit affiliate-netwerken en malafide pushmeldingen maximaliseren.
Een veelgebruikte truc is om bezoekers over te halen browsermeldingen onder valse voorwendselen toe te staan. Zodra dat gebeurt, worden gebruikers bestookt met scam-aanbiedingen, phishing of schadelijke links. En dat blijft maar komen, vaak nog lang nadat ze de oorspronkelijke site hebben bezocht.
Waarom zijn deze aanvallen zo lastig te stoppen?
De bestrijding van dit soort aanvallen is om meerdere redenen complex. Allereerst is het technisch uitdagend om kwetsbare DNS-records te herkennen binnen complexe hybride cloudomgevingen. Aanvallers hebben toegang tot veel DNS-gegevens (die ze op gerichte wijze onder de radar vergaren) en een grote hoeveelheid rekenkracht om in te zetten bij hun aanvallen. Zodra ze een subdomein van een betrouwbare organisatie hebben overgenomen, krijgen ze ook automatisch een bepaald niveau van legitimiteit, waarmee ze veel gangbare beveiligingsmaatregelen kunnen omzeilen. Bovendien zijn dit soort criminelen bijzonder vindingrijk en passen ze hun werkwijze continu aan om detectie te ontwijken. De financiële prikkels zijn immers groot: affiliate-fraude en malafide pushnotificaties zijn grof geld waard.
Hoe bescherm je jezelf tegen domain hijacking?
De beste bescherming voor organisaties is het strikt beheer van DNS-records. Dit omvat een regelmatige controle en updating van DNS-records – zeker na het stopzetten van cloudservices of andere grote IT-wijzigingen. Zorg er daarnaast voor dat alle betrokken teams – ook extern! – goed met elkaar blijven communiceren. Zo voorkom je dat DNS-records tussen wal en schip geraken. Bij een succesvolle domeinkaping is het natuurlijk essentieel om een gedegen responsplan te hebben zodat je snel kan optreden.
Voor eindgebruikers geldt: blijf altijd kritisch. Sta alleen browsermeldingen toe van sites die je kent en vertrouwt. Verschijnen er ongewenste meldingen? Schakel deze dan direct uit via de browserinstellingen. DNS-beveiligingsoplossingen kunnen daarbij helpen door toegang tot bekende malafide domeinen te blokkeren, zelfs als deze op het eerste gezicht betrouwbaar lijken. Uiteindelijk biedt een combinatie van technische waakzaamheid en bewustzijn bij eindgebruikers de beste verdediging tegen dit soort geavanceerde dreigingen.
De kern van de zaak
De aanvallen van criminelen zoals Hazy Hawk onderstrepen het belang van gedegen beheer van cloud-resources en DNS-hygiëne. Zeker nu (hybride) cloud-omgevingen complexer worden, is het bijhouden van fundamentele protocols zoals DNS absoluut noodzakelijk. Zie het maar zo: als je water uit de kraan tapt, moet je ervan uit kunnen gaan dat de leidingen schoon zijn. Met DNS is dat niet anders, want een goed gefilterde verbinding behoedt je netwerk voor verontreiniging.
Dit is een ingezonden bijdrage van Infoblox. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.