به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، فستفلاکس یک روش قدیمی در دنیای جرایم سایبری است که با تغییر سریع سوابق DNS مرتبط با یک دامنه، مکان واقعی سرورهای مخرب را پنهان میکند.
مهاجمان سایبری از این تکنیک برای جلوگیری از شناسایی و مسدود شدن توسط مدافعان شبکه استفاده میکنند، چرا که با هر بار تغییر آدرس آیپی، ردیابی و توقف فعالیت آنها دشوارتر میشود.
این روش عمدتاً برای پنهانسازی سرورهای کنترل و فرمان (C2) مورد استفاده قرار میگیرد؛ سرورهایی که بدافزارها برای دریافت دستورات جدید یا ارسال وضعیت خود به آنها متصل میشوند.
با استفاده از فستفلاکس، ارتباط این بدافزارها ناشناس باقی مانده و شناسایی آنها پیچیدهتر میشود.
دو نوع فستفلاکس شناسایی شده است:
1- فلاکس تکی (Single Flux): در این حالت، یک دامنه بهطور متناوب به چندین آدرس آی پی مختلف متصل میشود. اگر یکی از آدرسها مسدود شود، ارتباط از طریق سایر آدرسها ادامه مییابد.
2- فلاکس دوتایی (Double Flux): در این حالت علاوه بر تغییر آدرسهای آی پی، سرورهای نام (Name Server) نیز بهطور پیوسته تغییر میکنند که لایهای مضاعف از ناشناسی و پایداری به مهاجمان میدهد.
کارشناسان تأکید کردهاند که این تکنیک بیش از یک دهه است که توسط خلافکاران سایبری استفاده میشود، اما آنچه امروز اهمیت دارد، افزایش دقت، تنوع استفادهکنندگان (از جمله گروههای دولتی) و نقش حیاتی آن در حملات فیشینگ، بدافزارها و باجافزارها است.
گروههای باجافزاری مانند هایو (Hive) و نفیلیم (Nefilim) و همچنین گروه هکری دولتی روسی بهنام گاماردون (Gamaredon) از فستفلاکس برای دور زدن مسدودسازی آی پی استفاده کردهاند.
با این که این روش نیاز به دانش فنی و زیرساخت دارد، اما همچنان ابزاری مؤثر و کاربردی در جعبهابزار هکرها محسوب میشود.
برخی ارائهدهندگان خدمات میزبانی موسوم به میزبانی ضدگلوله (bulletproof hosting) در دارکوب حتی از قابلیت فستفلاکس برای جذب مشتری تبلیغ میکنند.
در نهایت، مقامات هشدار دادند که این تکنیک، چالشی جدی برای شناسایی و مقابله با تهدیدهای سایبری محسوب میشود و با توجه به نقش فزاینده دولتها و باندهای تبهکاری در استفاده از آن، مقابله با فستفلاکس نیازمند همکاریهای بینالمللی گستردهتر و ابزارهای دفاعی پیشرفتهتر است.
