Специалисты «Лаборатории Касперского» рассказали на вебинаре, что еще в мае текущего года иранская хакерская группа Oilrig (APT34) первой из всех известных APT взяла на вооружение протокол DNS-over-HTTPS (DoH) и использует его для бокового перемещения и хищения данных.
По словам эксперта компани Винсента Диаза (Vincente Diaz), для атак хакеры применяют опенсорсную утилиту DNSExfiltrator, которая может передавать данные между двумя точками, используя для этого как классические запросы DNS, так и более новый протокол DoH.
APT34 использует данный инструмент для бокового перемещения данных по внутренним сетям, а также для хищения информации. Судя по всему, DoH нужен, чтобы избежать обнаружения в ходе перемещения данных. Дело в том, что в настоящее время протокол DoH является идеальным каналом для извлечения информации. Во-первых, это новый протокол, который пока могут отслеживать даже не все защитные продукты. Во-вторых, по умолчанию DoH зашифрован, в отличие от обычного DNS.
Исследователи отмечают, что нет ничего удивительного в том, что Oilrig взяла DoH на вооружение. Данная группировка исторически специализируется на краже данных с применением DNS. К примеру, до DNSExfiltrator хакеры использовали для этих целей инструмент под названием DNSpionage (как минимум с 2018 года).
Нужно отметить, что Oilrig – первая APT, взявшая DoH на вооружение, но ранее хакеры пониже «рангом» уже эксплуатировали новый протокол. Например, протоколом злоупотреблял вредонос Godlua, обнаруженный специалистами еще в прошлом году.