Le agenzie di cybersecurity di Australia, Canada, Nuova Zelanda e Stati Uniti hanno rilasciato un avviso congiunto sui rischi associati a una tecnica chiamata fast flux, adottata dagli attori delle minacce per oscurare i canali di comando e controllo (C2). Il fast flux è una tecnica utilizzata per offuscare le posizioni dei server malevoli attraverso cambiamenti rapidi nei record DNS associati a un singolo nome di dominio. Questo metodo sfrutta una lacuna comunemente riscontrata nelle difese di rete, rendendo difficile il tracciamento e il blocco delle attività malevole di fast flux.

Agenzie Involte

L'avviso proviene da diverse agenzie, tra cui la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, l'Australian Cyber Security Centre, il Canadian Centre for Cyber Security e il National Cyber Security Centre della Nuova Zelanda. Negli ultimi anni, molti gruppi di hacking hanno abbracciato il fast flux, inclusi attori legati a Gamaredon, CryptoChameleon e Raspberry Robin, nel tentativo di far sì che la loro infrastruttura malevola sfugga al rilevamento e ai sequestri delle forze dell'ordine.

Come Funziona il Fast Flux

L'approccio del fast flux implica l'uso di una varietà di indirizzi IP che vengono ruotati rapidamente e puntano a un unico dominio malevolo. Può trattarsi di un flux singolo, dove un singolo nome di dominio è collegato a numerosi indirizzi IP, o di un double flux, dove oltre a cambiare gli indirizzi IP, vengono modificati frequentemente anche i server DNS responsabili della risoluzione del dominio, offrendo un ulteriore strato di ridondanza e anonimato per i domini fraudolenti.

Un network fast flux è definito "fast" perché, utilizzando il DNS, ruota rapidamente attraverso molti bot, usando ciascuno per un breve periodo di tempo per rendere difficili le operazioni di denylisting e di takedown basate sugli indirizzi IP. Le agenzie descrivono il fast flux come una minaccia alla sicurezza nazionale, poiché gli attori delle minacce usano questa tecnica per offuscare le posizioni dei server malevoli e stabilire un'infrastruttura C2 resiliente che possa resistere agli sforzi di smantellamento.

Raccomandazioni di Sicurezza

Per proteggersi dal fast flux, si raccomanda alle organizzazioni di bloccare gli indirizzi IP, di affondare i domini malevoli, di filtrare il traffico verso e dai domini o indirizzi IP con cattiva reputazione, di implementare un monitoraggio avanzato e di rafforzare la consapevolezza e la formazione sul phishing.

Il fast flux rappresenta una minaccia persistente alla sicurezza delle reti, sfruttando un'infrastruttura in rapido cambiamento per offuscare le attività malevole. Implementando strategie di rilevamento e mitigazione robuste, le organizzazioni possono significativamente ridurre il rischio di compromissione da parte di minacce abilitate al fast flux.