NSA alerta: ‘fast flux’ ameaça a segurança nacional. O que é fast flux afinal?
Para ações C2S altamente resilientes, a NSA alerta que ‘fluxo rápido’ ameaça segurança nacional
Uma técnica utilizada por Estados-nação hostis e grupos de ransomware motivados financeiramente para esconder suas operações representa uma ameaça à infraestrutura crítica e à segurança nacional. A técnica, conhecida como fluxo rápido, permite que redes descentralizadas operadas por atores de ameaças escondam sua infraestrutura e sobrevivam a tentativas de derrubá-las que, de outra forma, teriam sucesso. O fluxo rápido funciona ciclando por uma variedade de endereços IP e nomes de domínio que esses botnets usam para se conectar à Internet. A ameaça é considerada significativa pelas agências de segurança dos EUA, Canadá, Austrália e Nova Zelândia, permitindo que atores cibernéticos maliciosos evitem consistentemente a detecção, obscureçam as localizações de servidores maliciosos e criem infraestrutura de comando e controle resiliente e altamente disponível.
O fluxo rápido vem em duas variações: o fluxo único e o duplo fluxo, ambos utilizando registros de DNS para mapear domínios para múltiplos endereços IP. Essa técnica representa um desafio para a identificação e bloqueio de operações maliciosas, devido à constante mudança de IPs e nomes de domínio, proporcionando redundância e dificultando a isolamento da verdadeira origem da infraestrutura.
