Сотни поддоменов. 34 университета. Откровенное порно, всплывающее в поисковых запросах Google по таким гигантам, как Беркли и Колумбийский университет.
Таков итог работы исследователя Алекса Шахова, который обнаружил, как мошенники превращают элитные .edu-домены в цифровые бордели.
Плохое ведение записей — это мягко сказано.
Угон имени университета
Мошенники, связанные с группой Hazy Hawk, не взламывают сейфы и не фишинг-атакуют деканов. Они просто подбирают брошенные крошки DNS.
Администраторы сайтов создают поддомен, скажем, provost.washu.edu, с CNAME-записью, указывающей на некий канонический домен. Проект завершается. Поддомен выводится из эксплуатации. Но запись? Остается висеть, как шнурок от пиньяты.
Тут-то и появляются opportunistic’и. Они регистрируют забытый канонический домен, и вуаля — теперь у них есть блестящий .edu-поддомен, который раздает порно из спортзала Brazzers или мошеннические PDF-файлы с предупреждением о заражении вашего ПК.
Шахов метко подмечает: «Когда они создают поддомен, такой как provost.washu.edu, они создают CNAME-запись, которая присваивает поддомену «канонический» домен. Когда поддомен в итоге выводится из эксплуатации — а это происходит часто по разным причинам — запись никогда не удаляется».
«Мошенники вроде Hazy Hawk затем налетают, угоняя старую запись. Таким образом, они угоняют поддомен этого университета».
Алгоритм Google делает остальное, высоко ранжируя эти угоны, ведь, черт возьми, .edu-домены кричат об авторитетности.
Тысячи проиндексированных страниц. Случайные поиски статистики или причинно-следственного анализа? Прямиком на xxx-porn-girl-and-boy-ej5210.html на causal.stat.berkeley.edu.
Элегантно.
Почему это важно для репутации университетов?
Университеты торгуют престижем — веками накопленным, разлитым по доменным именам, которые сигнализируют о доверии. А теперь? Их поддомены торгуют фальшивыми оповещениями о вредоносном ПО и откровенными видео.
Один пример: hXXps://conversion-dev.svc.cul.columbia[.]edu/brazzers-gym-porn. Инженерный вайб Колумбийского университета, извращен.
Или hXXps://provost.washu.edu/app/uploads/formidable/6/dmkcsex-10.pdf — путь к файлу из канцелярии проректора, но это порно.
Родители, гуглящие поступление? Доноры, проверяющие новости от проректора? Они попадают сюда.
И это не единичные случаи. Статистический факультет Беркли, сервисы Колумбийского, административные инструменты WashU — все запятнано. Шахов насчитал как минимум 34 учреждения, а Google выдает тысячи отравленных результатов.
Это не изощренное киберпреступление. Это леность, доведенная до оружия. Администраторы забывают удалить DNS-записи после вывода из эксплуатации серверов или кампаний — обычная текучка в любом крупном IT-отделе. Но университеты, с их разветвленными кафедрами и ротируемым персоналом, усугубляют этот беспорядок.
Вот едкая правда: эти заведения учат мировую элиту, но не могут удалить чертову DNS-запись. Это как оставить ключи от Феррари в зажигании во время волны преступности.
Связь с Hazy Hawk
Независимые исследователи связывают это с Hazy Hawk, группой, известной угонами доменов. Не государственные акторы и не элитные хакеры — просто шулеры, которые вынюхивают просроченные или заброшенные регистрации.
Они садятся на канонические имена, на которые указывают эти устаревшие CNAME. Легально, дешево, эффективно. Университеты просыпаются, и их поддомены разрешаются в похабщину.
Шахов, основатель SH Consulting, заметил эту закономерность в berkeley.edu, columbia.edu, washu.edu и десятках других. Его отчет должен стать сигналом к пробуждению, но ожидайте обычного: пресс-релизы с обвинением «плохих актеров», пока IT-команды суетятся.
Корпоративный пиар на подходе.
Университеты не признают первопричину — системную неряшливость в гигиене DNS. Проще плакаться жертвами.
Это проблема только университетов или всех?
Не обманывайтесь. Каждая организация с поддоменами сталкивается с этим. E-commerce сайты, банки, даже техгиганты имеют болтающиеся DNS.
Но университеты страдают сильнее, потому что .edu повышает SEO. Мошенники любят эффект ореола — запросы вроде «causal statistics Berkeley» направляют трафик на порно или мошеннические схемы.
Уникальное наблюдение: это перекликается с бумом угона поддоменов 2010-х, когда такие инструменты, как Sublist3r, выявили тысячи угонов на S3-бакетах AWS. Тогда это были облачные мисконфигурации, теперь — DNS-дрейф. История повторяется, потому что никто не учится.
Смелое предсказание: без автоматизированных DNS-аудитов — инструментов, сканирующих висящие CNAME — к вечеринке присоединятся государственные структуры, используя .edu для ферм фишинговых учетных данных.
Что должны сделать университеты сейчас
Удалить записи. Все до единой.
Провести аудит каждого CNAME. Такие инструменты, как dnsdumpster или Subjack, могут быстро выявлять сирот.
Внедрить политику: никакого вывода из эксплуатации без очистки DNS. Скриптуйте. Автоматизируйте.
Безопасный просмотр Google помогает, но деиндексация занимает время — мошенники все равно ротируются.
И обучите персонал. Ротация администраторов означает забытые процессы. Требуйте чек-листы.
Университеты тратят миллионы на брендинг престижа. Карманные деньги на гигиену DNS могли бы спасти лицо.
Жалко, что это не делается автоматически.
Более широкий урок безопасности
Это раскрывает правду, которую технари любят игнорировать: большинство взломов — это не zero-day и не APT. Это ошибки конфигурации, забытые ключи, ленивая уборка.
Находка Шахова напоминает нам: операционная безопасность начинается с основ. Элитные домены не иммунизируют от глупости.
Мошенники процветают на этом. А индекс Google поддерживает вечеринку.
Исправьте свой DNS, умники. Или продолжайте раздавать порно вместе с вашими программами.
🧬 Связанные материалы
- Читать далее: Kasetto наводит порядок в хаосе AI-агентов с помощью декларативной магии на Rust
- Читать далее: Что такое менеджер пакетов?
Часто задаваемые вопросы
Что приводит к тому, что поддомены университетов раздают порно?
Забытые CNAME DNS-записи после вывода поддоменов из эксплуатации, позволяющие мошенникам зарегистрировать целевые домены и перехватить трафик.
Какие университеты пострадали от угона поддоменов через DNS?
Как минимум 34, включая Калифорнийский университет в Беркли (berkeley.edu), Колумбийский университет (columbia.edu) и Вашингтонский университет в Сент-Луисе (washu.edu), с сотнями затронутых поддоменов.
Как мошенники используют уязвимые DNS-записи?
Они регистрируют канонический домен в устаревшем CNAME, получая контроль над поддоменом университета для порнографии, мошенничества или чего похуже — и все это благодаря SEO .edu.
