Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un attacco ai server DNS, ha colpito oltre 30 università statunitensi sfruttando dei record orfani che sono stati utilizzati per dirottare sottodomini .edu. I malintenzionati, hanno pubblicato pagine di spam e contenuti illeciti che sono stati indicizzati da googlebot, sfruttando l’elevata reputazione dei domini accademici. La campagna è stata attribuita al gruppo "Hazy Hawk" ed evidenzia delle gravi lacune nella gestione dei DNS e i rischi legati alle infrastrutture web decentralizzate.
Una rete di università americane è stata colpita da un massiccio attacco informatico che non ha interessato direttamente i loro sistemi didattici, bensì la loro reputazione digitale. Gli aggressori hanno dirottato decine di sottodomini .edu abbandonati e li hanno utilizzati per ospitare spam vero e proprio, che Google ha indicizzato con i nomi delle università più rinomate del paese.
Alex Shakhov, fondatore di SH Consulting, ha denunciato la campagna malevola. All’inizio di aprile 2026, ha scoperto un’acquisizione coordinata di sottodomini appartenenti ad almeno 34 istituti scolastici, tra cui il MIT, Harvard, Stanford, UC Berkeley, Columbia, l’Università di Chicago e la Johns Hopkins University.
Secondo Shakhov, gli aggressori hanno utilizzato vecchi record DNS che continuavano a puntare a piattaforme esterne anche dopo la chiusura dei progetti o la cancellazione degli account.
Il piano si è rivelato semplice. I dipartimenti universitari creavano siti web su servizi di terze parti, collegavano i sottodomini a questi tramite record CNAME e, una volta completato il lavoro, non rimuovevano i record DNS.
Quando la risorsa esterna rimaneva incustodita, gli aggressori registravano un nuovo account con il nome desiderato e ottenevano il controllo completo dell’indirizzo IP dell’università. Shakhov ha citato l’esempio di un sottodominio dell’Università di Chicago che puntava ancora a un servizio di hosting WP Engine inutilizzato.
Gli indirizzi IP dirottati sono stati utilizzati per ospitare pagine contenenti contenuti per adulti e spam sui motori di ricerca . Grazie all’elevato valore di affidabilità dei domini .edu, tali contenuti sono apparsi rapidamente nei risultati di ricerca di Google, posizionandosi significativamente più in alto rispetto ad altri siti web sospetti. Secondo Infoblox, uno schema simile era già stato utilizzato dal gruppo Hazy Hawk, precedentemente coinvolto in attacchi contro agenzie governative, tra cui il CDC, e grandi aziende come Deloitte e PricewaterhouseCoopers.
Renee Burton, vicepresidente di Threat Intelligence di Infoblox, ha confermato che la nuova campagna corrisponde alla firma di Hazy Hawk. Secondo Infoblox, il gruppo è alla ricerca di record DNS orfani da anni, utilizzando temporaneamente sottodomini dirottati per reindirizzare il traffico attraverso reti di partner dubbie, per poi passare a nuovi obiettivi.
Il problema non si limitava alle università. In seguito alla pubblicazione dello studio di Shakhov, gli esperti hanno segnalato una vulnerabilità simile anche presso il Department of Defense Education Activity, l’agenzia del Dipartimento della Difesa statunitense che gestisce le scuole per le famiglie dei militari.
Shakhov attribuisce tali incidenti a una gestione inadeguata dei sottodomini e alla mancanza di procedure di pulizia DNS dopo la chiusura dei progetti. In un ambiente universitario decentralizzato, dove i siti web vengono lanciati dai singoli dipartimenti e dai laboratori e associazioni studentesche, i record abbandonati possono persistere per anni, diventando un comodo punto di ingresso per nuovi attacchi.
La tua azienda si trova nella stessa situazione? Fai una ricerca su google per vedere!
