Bugungi kunda internet infratuzilmasining ajralmas qismiga aylangan CDN xizmatlari millionlab veb-saytlar va onlayn platformalarning tezkor, barqaror va xavfsiz ishlashini ta’minlab kelmoqda. Ammo kiberxavfsizlik mutaxassislari tomonidan aniqlangan yangi tahdid ushbu ishonchli texnologiyaning o‘zi ham yirik xavf manbaiga aylanishi mumkinligini ko‘rsatdi.

Tadqiqotchilar tomonidan “Underminr” nomi bilan qayd etilgan yangi usul orqali xakerlar mashhur CDN infratuzilmasidan foydalanib, zararli trafikni qonuniy va ishonchli ko‘rinishda uzatishga muvaffaq bo‘lmoqda. Natijada ko‘plab tashkilotlarning xavfsizlik tizimlari hujumni oddiy internet traffigi sifatida qabul qilib, uni bloklamasdan o‘tkazib yubormoqda.

Mazkur tahdid oddiy dasturiy xato yoki zaiflik emas. Bu — internet infratuzilmasining ishlash mexanizmlaridan foydalanishga asoslangan murakkab arxitekturaviy hujum usuli hisoblanadi.

CDN nima va u qanday ishlaydi?

CDN (Content Delivery Network) — bu internetdagi kontentlarni foydalanuvchilarga tezroq yetkazib berish uchun mo‘ljallangan global serverlar tarmog‘idir.

Bugungi kunda:

• ijtimoiy tarmoqlar,
• bulutli servislar,
• video platformalar,
• davlat portallari,
• internet-do‘konlar,
• bank tizimlari

kabi ko‘plab xizmatlar CDN texnologiyalaridan foydalanadi.

Masalan, Cloudflare, Akamai Technologies, Amazon Web Services hamda Fastly kabi kompaniyalar dunyo bo‘ylab millionlab domenlarga xizmat ko‘rsatadi.

CDN’ning asosiy vazifasi:

• saytlarni tez ishlatish;
• server yuklamasini kamaytirish;
• DDoS hujumlardan himoya qilish;
• foydalanuvchiga eng yaqin server orqali xizmat ko‘rsatishdan iborat.

Ammo aynan shu umumiy infratuzilma endi xakerlar tomonidan yangi usulda suiste’mol qilinmoqda.

“Underminr” tahdidi nimasi bilan xavfli?

“Underminr” usuli CDN xizmatlarining ko‘p mijozli umumiy infratuzilma modelidan foydalanadi.

Oddiy qilib aytganda:
bir xil CDN serverida minglab turli saytlar ishlashi mumkin. Hujumchilar esa o‘z zararli domenlarini ham aynan shu infratuzilmaga joylashtiradi.

Natijada:

• zararli domen,
• mashhur kompaniya sayti,
• davlat portali,
• yoki ishonchli SaaS platformasi

bir xil CDN tugunidan foydalanayotgan bo‘ladi.

Shu orqali xakerlar o‘z trafiklarini ishonchli servis traffigi orasiga “yashirib” yuboradi.

Hujum qanday amalga oshiriladi?

“Underminr” usuli asosan TLS va HTTP marshrutlash mexanizmlaridan foydalanadi.

Hujum quyidagi bosqichlarda amalga oshiriladi:

1-bosqich — Xaker CDN xizmatiga ulanadi

Avvalo hujumchi:

• o‘z domenini ro‘yxatdan o‘tkazadi;
• uni CDN xizmatiga bog‘laydi;
• CDN infratuzilmasidan joy oladi.

Natijada zararli domen mashhur platformalar bilan bir xil tarmoq infratuzilmasida ishlay boshlaydi.

2-bosqich — Ishonchli domen nomidan foydalaniladi

TLS ulanish vaqtida brauzer yoki dastur serverga SNI (Server Name Indication) ma’lumotini yuboradi.

SNI — bu:
“Men qaysi domen bilan bog‘lanmoqchiman?” degan ma’lumotdir.

Xakerlar esa aynan shu joyni manipulyatsiya qiladi.

Masalan:

• foydalanuvchi trafikida mashhur servis domeni ko‘rsatiladi;
• ammo haqiqiy trafik hujumchi serveriga yo‘naltiriladi.

Tashqi tomondan qaralganda esa ulanish mutlaqo qonuniy ko‘rinadi.

3-bosqich — Xavfsizlik tizimlari aldanadi

Ko‘plab xavfsizlik vositalari:

• domen reputatsiyasi,
• TLS sertifikati,
• SNI qiymati,
• IP ishonchliligi

asosida trafikni tekshiradi.

“Underminr” hujumi vaqtida esa:

• trafik mashhur domen nomidan kelayotgandek ko‘rinadi;
• TLS sertifikati haqiqiy bo‘ladi;
• CDN IP manzili ishonchli bo‘ladi.

Shu sababli:

• firewall tizimlari,
• IDS/IPS vositalari,
• web-filter tizimlari

zararli trafikni bloklamaydi.

HTTP/2 multiplexing tahdidni yanada kuchaytirmoqda

Mutaxassislarning ta’kidlashicha, hujumchilarning eng kuchli imkoniyatlaridan biri — HTTP/2 multiplexing texnologiyasidan foydalanishidir.

Bu texnologiya:
bitta ulanish ichida bir vaqtning o‘zida bir nechta ma’lumot oqimini uzatishga imkon beradi.

Natijada:

• oddiy trafik,
• foydalanuvchi so‘rovlari,
• zararli buyruqlar,
• malware yuklamalari

bir xil ulanish ichida aralashib ketadi.

Bu esa tahdidni aniqlashni yanada murakkablashtiradi.

Hujumchilar ushbu usuldan nima maqsadda foydalanmoqda?

Tadqiqotchilar ma’lumotlariga ko‘ra, “Underminr” usuli quyidagi kiberjinoyatlarda faol qo‘llanmoqda:

Malware tarqatish

Zararli dasturlar ishonchli CDN traffigi ichida yashirin tarzda uzatilmoqda.

Phishing kampaniyalari

Soxta login sahifalari mashhur platformalarga o‘xshatilib foydalanuvchilarga yuborilmoqda.

Command-and-Control (C2) kanallari

Hujumchilar zararli dasturlar bilan yashirin aloqa kanallarini yaratmoqda.

Monitoringdan yashirinish

An’anaviy xavfsizlik tizimlari tahdidni aniqlay olmayapti.

Nega bu muammo juda jiddiy?

Mazkur tahdidning eng xavfli jihati — bu oddiy “patch” bilan yopiladigan zaiflik emasligidir.

Ya’ni:

• bu CVE emas;
• oddiy dasturiy xato emas;
• xavfsizlik yangilanishi bilan bartaraf etilmaydi.

Muammo internet infratuzilmasining o‘zida — CDN arxitekturasida.

Tadqiqotchilar hisob-kitobiga ko‘ra:
dunyo bo‘ylab 88 milliondan ortiq domen ushbu tahdid ta’siriga tushishi mumkin.

Qaysi tashkilotlar xavf ostida?

Aslida internetdan foydalanuvchi har qanday tashkilot xavf ostida bo‘lishi mumkin.

Xususan:

• banklar,
• davlat tashkilotlari,
• telekommunikatsiya kompaniyalari,
• bulutli servislar,
• SaaS platformalar,
• yirik korporatsiyalar

asosiy nishon sifatida ko‘rilmoqda.

Chunki ularning ko‘pchiligi CDN xizmatlariga to‘liq tayanadi.

Mutaxassislar qanday himoyalanishni tavsiya qilmoqda?

Kiberxavfsizlik mutaxassislari tashkilotlarga ko‘p qatlamli himoya strategiyasini joriy qilishni tavsiya qilmoqda.

Deep Packet Inspection (DPI)

Trafik ichidagi:

• SNI,
• Host header,
• TLS parametrlarini

chuqur tahlil qilish zarur.

Xulq-atvor tahlili

Faqat domen nomiga emas, trafikning real xatti-harakatiga e’tibor qaratish kerak.

Masalan:

• noodatiy trafik hajmi;
• g‘ayritabiiy marshrutlash;
• kutilmagan API so‘rovlari

shubhali deb baholanishi lozim.

Zero Trust yondashuvi

“Ishonchli domen” tushunchasi endi yetarli emas.

Har bir trafik:

• tekshirilishi,
• autentifikatsiyadan o‘tishi,
• verifikatsiya qilinishi kerak.

CDN provayderlari bilan ishlash

Tashkilotlar:

• tenant isolation,
• trafik segregatsiyasi,
• marshrutlash xavfsizligi

bo‘yicha CDN provayderlari bilan yaqindan ishlashi kerak.

“Underminr” zamonaviy internet infratuzilmasidagi eng murakkab va xavfli tahdidlardan biri sifatida baholanmoqda. Ushbu usul xakerlar endilikda oddiy zaifliklarni emas, balki internetdagi ishonch mexanizmlarining o‘zini nishonga olayotganini ko‘rsatmoqda.

Eng xavotirli jihati shundaki, foydalanuvchi yoki tashkilot uchun trafik mutlaqo qonuniy va xavfsiz ko‘rinadi. Ammo aslida ushbu ulanish ortida zararli faoliyat yashiringan bo‘lishi mumkin.

Shu sababli zamonaviy kiberxavfsizlik endi faqat domen reputatsiyasi yoki oddiy filtr tizimlariga emas, balki chuqur trafik tahlili, xulq-atvor monitoringi va Zero Trust tamoyillariga tayanishi zarur. Aks holda, eng ishonchli ko‘ringan trafik ham katta kiberhujumning bir qismi bo‘lib chiqishi mumkin.