CISA ostrzega przed techniką Fast Flux. Cyberprzestępcy coraz skuteczniej ukrywają infrastrukturę ataków

Amerykańska agencja CISA opublikowała nowe ostrzeżenie, w którym opisano sposób działania techniki Fast Flux. To kolejna z metod wykorzystywanych przez cyberprzestępców, która pokazuje, jak dynamicznie zmieniają się zagrożenia w internecie. W dokumencie zwrócono uwagę na potrzebę stosowania nowoczesnych narzędzi analitycznych, a także reagowania na wzorce zachowań sieciowych, które mogą wskazywać na ukryte działania atakujących.

Technika Fast Flux to istotne zagrożenie dla bezpieczeństwa narodowego, umożliwiając złośliwym cyberprzestępcom konsekwentne unikanie wykrycia.

Miliony użytkowników Google Chrome ofiarami ataku. Adblock for Chrome, WAToolkit i inne rozszerzenia zostały zainfekowane

Technika Fast Flux to dynamiczna rotacja adresów IP powiązanych z jednym rekordem DNS. Pozwala to cyberprzestępcom ukrywać serwery command and control (C2) wykorzystywane w atakach. Te najczęściej służą do rozsyłania złośliwego oprogramowania, kradzieży danych i prowadzenia działań dezinformacyjnych. Metoda ta znacznie utrudnia wykrycie i neutralizację infrastruktury, a jej zastosowanie może obejmować kampanie o charakterze przestępczym, ale również działania sponsorowane przez państwa. Agencja CISA, we współpracy z FBI, MS-ISAC i innymi partnerami, ostrzega w najnowszym komunikacie AA25-093A, że fast flux może stanowić realne zagrożenie dla krytycznej infrastruktury i bezpieczeństwa narodowego. Eksperci rozróżniają dwie odmiany tej techniki:

• Single flux – zmieniają się adresy IP przypisane do jednej domeny, a serwery nazw DNS pozostają stałe.
• Double flux – zarówno adresy IP, jak i serwery nazw DNS podlegają dynamicznej rotacji, co dodatkowo utrudnia ich blokowanie.

DeepSeek rodzi poważne obawy o cyberbezpieczeństwo. W łatwy sposób uzyskano dostęp do bazy danych nowej usługi

CISA zaleca wdrożenie szeregu działań obronnych, szczególnie przez dostawców usług internetowych oraz działy bezpieczeństwa IT w firmach:

• Monitorowanie logów DNS w poszukiwaniu dużej zmienności adresów IP dla jednej domeny,
• Analiza wartości TTL (time to live), które w przypadku domen fast flux są bardzo niskie,
• Wykrywanie anomalii w ruchu sieciowym i w komunikacji z wieloma adresami IP w krótkim czasie,
• Współpraca z organizacjami branżowymi i wymiana danych o zagrożeniach w czasie rzeczywistym.

Fast Flux to metoda, która działa skutecznie, ponieważ korzysta z fundamentalnych mechanizmów działania sieci DNS. Jej efektywność w ukrywaniu infrastruktury sprawia, że staje się coraz częściej wykorzystywana nie tylko przez przestępców, ale także przez grupy hakerów wspieranych przez rządy. Skuteczna detekcja i przeciwdziałanie wymaga połączenia zaawansowanych narzędzi analitycznych z czujnością administratorów i stałą wymianą informacji między podmiotami odpowiedzialnymi za bezpieczeństwo sieci.