عاد بروتوكول نظام أسماء النطاقات (DNS) إلى دائرة الاستهداف المكثف من قبل المهاجمين السيبرانيين، بحسب تقرير مشهد تهديدات DNS لعام 2025 الصادر عن شركة Infoblox، الذي أوضح أن الهجمات لم تتوقف عند الأعداد، بل تطورت من حيث الأسلوب لتصبح أكثر تخفيا واستمرارية. وأكد التقرير أن المهاجمين يستخدمون DNS كقناة لتسريب البيانات، وتجاوز الدفاعات، وإيصال البرمجيات الخبيثة، مع استغلال بروتوكولات موثوقة مثل HTTPS وDNS over HTTPS (DoH) لإخفاء أنشطتهم.
وتكمن خطورة هذه العودة في أن DNS أحد البروتوكولات القليلة التي يجب أن تبقى مفتوحة لعمل الشبكات، مما يجعله نقطة دخول مثالية للهجمات. ورغم اعتماد المؤسسات عليه بشكل أساسي، فإن كثيرا منها لا يراقبه بالعمق الكافي. وقالت الدكتورة رينيه بورتون، رئيسة وحدة المعلومات الاستخباراتية في Infoblox، إن المهاجمين يستغلون هذا الواقع عبر تسجيل أعداد كبيرة من أسماء النطاقات أو استغلال أخطاء الإعدادات لاختطاف نطاقات قائمة وانتحال علامات تجارية معروفة.
من الهجمات المباشرة إلى العمل الخفي
أظهر التقرير أن الهجمات القائمة على DNS باتت تركز على تقنيات التخفي مثل DNS Tunneling، التي تتيح تمرير بيانات صغيرة الحجم عبر طلبات DNS بعيدا عن أنظار جدران الحماية وأنظمة مكافحة الفيروسات. وأصبحت هذه التقنية أكثر شيوعا من الهجمات التقليدية مثل Brute-Force أو Flooding.
التشفير كسلاح مزدوج
أشار التقرير إلى أن بروتوكول DoH، الذي صُمم لتعزيز الخصوصية، أصبح أيضا وسيلة لإخفاء حركة المرور الضارة. وبين أن المؤسسات التي لا تمتلك رؤية على حركة DNS المشفرة قد تفقد مؤشرات مبكرة على الاختراق، خاصة مع تزايد هجمات التصيد وتوزيع البرمجيات الخبيثة باستخدام خوارزميات توليد النطاقات (DGAs) التي تصعب حظر النطاقات الخبيثة بالطرق التقليدية.
إجراءات لا بد منها
شدد التقرير على أن على مسؤولي أمن المعلومات التعامل مع DNS كمصدر أساسي لمؤشرات الاختراق، وبناء دفاعات متقدمة تشمل رصد الأنماط الشاذة، وتحديد معدلات استعلام غير اعتيادية، وفحص طلبات DNS المشفرة، إضافة إلى استخدام معلومات استخباراتية متخصصة في DNS.
التنسيق بين الفرق ضرورة
لفت التقرير إلى أن فجوة التنسيق بين فرق الشبكات وفرق الأمن تشكل نقطة ضعف، حيث يُدار DNS غالبا من قسم تقنية المعلومات، بينما تفتقر فرق الأمن إلى رؤية كافية. وأوصى بمراجعة إدارة DoH مركزيا، والتحكم في الخوادم المسموح بها، وتسجيل جميع أنشطة DNS.
وأكد التقرير أن عودة تهديدات DNS بهذا الزخم تمثل خطرا تجاريا مباشرا، إذ يمكن أن تؤدي إلى فقدان بيانات وتعطل الأعمال والإضرار بالسمعة، إضافة إلى تمهيد الطريق لهجمات أكبر وأكثر تعقيداً.
