Анализ данных whois-сервиса «Руцентр» за первые шесть месяцев нынешнего года показал повышенный интерес к доменам российских компаний. При суммарном показателе в 51,8 млн запросов более 39 млн запросов пришлись на принадлежащие юрлицам домены. По мнению экспертов, это связано не столько со спросом на конкурентную разведку, сколько с действиями злоумышленников, для которых корпоративные домены являются отправной точкой атак.

Источник изображения: Glenn Carstens-Peters / Unsplash
В сообщении сказано, что в первом полугодии показатель средней интенсивности мониторинга на один корпоративный домен вдвое превышал аналогичный показатель за такой же период прошлого года. Количество уникальных IP-адресов, с которых осуществлялись запросы, достиг 3,2 млн единиц. При этом только 3 % IP-адресов являлись российскими, а основной объём активности генерировался из США (30 %). Около 15 тыс. IP-адресов за квартал ИБ-служба «Руцентра» классифицировала как сомнительные. Из них 65 % ассоциированы со средствами анонимизации трафика, 30 % связаны с известной вирусной активностью, а 5 % пришлись на IP-адреса, связанные со спам-рассылками, центрами управления ботнетами и хакерскими группировками.
В «Руцентре» считают, что такая активность говорит о систематическом сборе информации о принадлежащих бизнесу доменах, что может создавать ряд серьёзных угроз. Речь идёт не только о возможности легитимного перехвата домена (киберсквоттинг) после истечения срока его регистрации с целью последующей перепродажи изначальному владельцу. Одна из главных угроз заключается в возможности компрометации аккаунта администратора.
«Это даёт злоумышленнику не только доступ к домену, но и возможность перехвата корпоративной почты бизнеса. Результатом становится утечка критических данных о компании и её клиентах. Скомпрометировать аккаунт можно разными путями: от взлома почты ответственного сотрудника до методов социальной инженерии», — отмечает директор по ИБ «Руцентра» Сергей Журило.
Директор по продуктам Servicepipe Михаил Хлебунов добавил, что средства сбора данных и анализа таких активов позволяют узнать не только IP-адреса, домены и поддомены организации. С их помощью можно собрать данные об адресах почтовых ящиков, телефонах, ASN-номерах (глобальные идентификаторы для ускорения маршрутизации трафика), CIDR-диапазонах (обозначения блоков IP-адресов, относящихся к деятельности одной организации) и др. Он отметил, что подобный анализ могут проводить конкуренты, но обычно в таких случаях разведка носит точечный характер. Если же наблюдается массовый мониторинг интенсивности, то это, вероятно, имеет злонамеренный характер.
Источник: