Shadow DNS: zararlangan routerlar orqali internet trafikni yashirin boshqarish sxemasi

Ko‘pchilik internet foydalanuvchilari router’ni oddiygina “internet tarqatuvchi qurilma” deb biladi. Aslida esa router — uy yoki ofis tarmog‘idagi barcha qurilmalar ishonadigan markaziy yo‘naltiruvchi nuqtadir. Agar aynan shu nuqta komprometatsiya qilinsa, foydalanuvchi qayerga kirayotganini o‘zi ham sezmay qolishi mumkin.

Infoblox tahlilchilari aniqlagan keng ko‘lamli yashirin operatsiya shuni ko‘rsatdiki, tajovuzkorlar zaif routerlarni buzib kirib, ularning DNS sozlamalarini yashirincha o‘zgartirmoqda. Natijada foydalanuvchining barcha internet so‘rovlari provayder DNS serverlariga emas, balki hujumchilarga tegishli zararli DNS resolverlarga yo‘naltiriladi.

Bu usul kiberxavfsizlik olamida Shadow DNS nomi bilan atalmoqda.

Muammo nimada?

Zararlangan routerlar DNS so‘rovlarini quyidagi tartibda qayta yo‘naltiradi:

  1. Foydalanuvchi brauzer orqali sayt manzilini kiritadi
  2. Router so‘rovni odatdagi DNS serverga emas, zararli DNS resolverga yuboradi
  3. Hujumchi foydalanuvchini qaysi saytga yo‘naltirishni o‘zi belgilaydi

Qiziq tomoni shundaki, mashhur saytlar (masalan, Google) odatda to‘g‘ri ochiladi. Bu foydalanuvchida shubha uyg‘otmaslik uchun qilinadi. Ammo ma’lum saytlar yoki qidiruvlar paytida murakkab qayta yo‘naltirish (redirect) zanjiri ishga tushadi.

Bu jarayonda HTTP asosidagi Traffic Distribution System (TDS) ishlatiladi. TDS foydalanuvchi qurilmasini “barmoq izi” (fingerprinting) orqali tahlil qiladi va shundan so‘ng unga mos zararli yoki firibgarlik sahifasini ko‘rsatadi.

Nega foydalanuvchilar muammoni sezmaydi?

Jabrlanuvchilar ko‘pincha quyidagi g‘alati holatlarni kuzatgan:

  • Google Sheets ochilmasligi
  • Brauzerning o‘z-o‘zidan boshqa saytlarga yo‘naltirilishi
  • Reklama va firibgarlik sahifalarining ko‘payishi

Aksariyat foydalanuvchilar muammoni kompyuter yoki telefonida deb o‘ylaydi. Aslida esa muammo — router’da.

Tajovuzkorlar asosan eskirgan router modellarini nishonga oladi. Bunday qurilmalar yangilanish olmaydi va xavfsizlik nuqsonlari yopilmagan bo‘ladi.

EDNS0’ni o‘chirib qo‘yish orqali yashirinish usuli

Bu kampaniyaning eng murakkab va qiziqarli jihati — uning aniqlanishdan mohirona qochish usulidir.

Xavfsizlik mutaxassislari dastlab zararli DNS javoblarini takrorlay olmagan. Sababi keyinchalik aniqlangan:

Zararli DNS resolverlar faqat EDNS0 o‘chirilgan so‘rovlarga javob beradi.

EDNS0 — zamonaviy DNS tizimlarida keng qo‘llaniladigan standart kengaytma bo‘lib, deyarli barcha qonuniy DNS serverlar undan foydalanadi. Xavfsizlik skanerlash vositalari ham avtomatik tarzda EDNS0 bilan so‘rov yuboradi.

Hujumchilar esa o‘z serverlarini shunday sozlaganki:

  • EDNS0 bilan kelgan so‘rovlar e’tiborsiz qoldiriladi
  • Oddiy, eski tipdagi so‘rovlarga esa zararli javob qaytariladi

Natijada:

  • Tadqiqotchilar to‘g‘ri IP manzil oladi
  • Haqiqiy foydalanuvchi esa zararli yo‘naltirishga duch keladi

Bu oddiy, ammo juda samarali filtr tufayli ushbu zararli infratuzilma yillar davomida aniqlanmay faoliyat yuritgan.

Hujumchilarning maqsadi nima?

  • Soxta reklama platformalariga trafik yo‘naltirish
  • Firibgarlik (scam) sahifalariga olib borish
  • Qurilma va foydalanuvchi haqida ma’lumot to‘plash
  • Kelgusida zararli dasturlar tarqatish

Bu yerda asosiy maqsad — foydalanuvchi ishonchini buzmasdan, uning trafikini boshqarish.

Himoyalanish choralari

Foydalanuvchilar va tashkilotlar quyidagilarni amalga oshirishi zarur:

  1. Router DNS sozlamalarini tekshirish (provayder yoki ishonchli DNS bo‘lishi kerak)
  2. Router firmware’ni so‘nggi versiyaga yangilash
  3. Yangilanish olmaydigan eski routerlarni almashtirish
  4. Router admin parolini murakkab qilib o‘zgartirish
  5. Masofaviy boshqaruv (Remote Management) funksiyasini o‘chirish
  6. DNS over HTTPS (DoH) yoki DNS over TLS (DoT) dan foydalanish

Shadow DNS hujumi yana bir bor shuni ko‘rsatadiki, kiberxavfsizlik faqat kompyuter yoki telefon bilan cheklanmaydi. Router — butun tarmoq ishonadigan qurilma. Agar u buzilsa, foydalanuvchi qayerga kirayotganini o‘zi ham bilmay qoladi.

Tajovuzkorlar aynan ko‘pchilik e’tibor bermaydigan joyni nishonga olmoqda. Router xavfsizligi esa bugungi kunda shaxsiy kiberxavfsizlikning ajralmas qismiga aylangan.