Atakujący przejmują domeny .ro Google, Microsoft, Yahoo, inne

Rumuńskie nazwy domen Google, Yahoo, Microsoft, Kaspersky Lab i innych firm zostały przejęte w środę i zostały przekierowane do zhackowany serwer w Holandii.

Porwanie nastąpiło na poziomie DNS (Domain Name System), a atakujący modyfikował rekordy DNS dla google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro i paypal.ro, według Costina Raiu, dyrektora globalnego zespołu badawczo-analitycznego w firmie Kaspersky Lab zajmującej się bezpieczeństwem.

Doprowadziło to do tego, że strony wyświetlały stronę atakującą zamiast ich zwykłej zawartości - atak powszechnie znany jako uszkodzenie strony internetowej. Strona fałszywa wyświetlana w tym przypadku przypisała atak algierskiemu hakerowi, używając aliasu MCA-CRB. Haker opublikował także zrzuty ekranowe stron internetowych ze zniszczonymi stronami na stronie Zone-H.org, archiwum do zrzucania stron internetowych.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Haker wskazał domeny serwer w Holandii-server1.joomlapartner.nl - który również został zhackowany, powiedział Bogdan Botezatu, starszy analityk e-threat w rumuńskim dostawcy oprogramowania antywirusowego Bitdefender.

Botezatu uważa, że ​​rekordy DNS zostały zmodyfikowane w wyniku naruszenie bezpieczeństwa w rejestrze domeny RoTLD, który zarządza autorytatywnymi serwerami DNS dla całej przestrzeni domeny.ro.

Rumuński Narodowy Instytut Badań i Rozwoju Informatyki, organizacja, która uruchamia rejestr RoTLD, nie odpowiedział na żądanie dla komentarza.

Kompromis systemu internetowego RoTLD używanego przez właścicieli nazw domeny.ro do administrowania ich domenami lub serwerów DNS rejestru jest jedną z możliwości, powiedział Raiu.

Konto RoTLD firmy Kaspersky Lab, które było używane admin kas persky.ro - jedna z dotkniętych nazw domen - nie wyświetla żadnych ostrzeżeń ani innych oczywistych oznak kompromisu, powiedział Raiu. Jednak nie wyklucza to możliwości, że hakerzy uzyskają dostęp do konta administratora RoTLD bezpośrednio, powiedział.

Kaspersky jest w trakcie składania oficjalnej skargi do RoTLD, powiedział Raiu.

Inny scenariusz dotyczy napastników uruchomienie tzw. ataku polegającego na zatruwaniu DNS, który spowodował, że nieuczciwe rekordy DNS zostały wstawione na publiczne serwery DNS DNS firmy Google - 8.8.8.8 i 8.8.4.4 - Naukowcy z Kaspersky Lab napisali w środę we wpisie na blogu.

Nie wszyscy rumuńscy użytkownicy zostali dotknięci przez atak. W rzeczywistości serwery tłumaczące DNS wielu rumuńskich dostawców usług internetowych nie zgłosiły zatrutych rekordów, powiedział Raiu.

Może to być spowodowane różnicami w czasach buforowania. Publiczne serwery DNS Google można skonfigurować w taki sposób, aby odświeżyły rekordy DNS, przesyłając autorytatywne serwery DNS, na przykład te obsługiwane przez RoTLD, które są szybsze niż algorytmy DNS niektórych dostawców usług internetowych.

"Usługi Google w Rumunii nie zostały zhakowane" - powiedział przedstawiciel Google poprzez e-mail. "Przez krótki czas niektórzy użytkownicy odwiedzający witrynę www.google.ro i kilka innych adresów internetowych zostali przekierowani do innej witryny. Jesteśmy w kontakcie z organizacją odpowiedzialną za zarządzanie nazwami domen w Rumunii. "

" Wiemy, że Yahoo.ro był niedostępny dla niektórych użytkowników w Rumunii "- powiedziała rzeczniczka Yahoo przez e-mail. "Ten problem został rozwiązany i przepraszamy za wszelkie związane z tym niedogodności."

"W dniu 27 listopada na Microsoft.ro wpłynął problem z DNS firmy zewnętrznej", powiedział Microsoft w oświadczeniu przesłanym pocztą elektroniczną. "Witryna została w pełni przywrócona i możemy potwierdzić, że żadne dane klienta nie zostały naruszone. Współpracujemy z naszymi zewnętrznymi partnerami w celu oceny ich praktyk bezpieczeństwa. "

Nie jest jasne, czy nazwa domeny paypal.ro jest faktycznie własnością PayPal. Firma PayPal nie odpowiedziała natychmiast na prośbę o wyjaśnienia.

Atak w Rumunii jest podobny do tego, który miał miejsce w zeszłym tygodniu w Pakistanie i dotyczy domen.pk Google, Microsoft, Yahoo, PayPal i innych firm. Naruszenie bezpieczeństwa zostało prześledzone z powrotem do PKNIC, rejestru domeny.pk.

"PKNIC dowiedział się o luce w jednym z jej systemów, która spowodowała złamanie czterech kont użytkowników w piątek wieczorem 23 listopada, wpływając na dziewięć DNS rekordów, w sumie około pięćdziesięciu tysięcy ", podał rejestr w oświadczeniu opublikowanym na swojej stronie internetowej w tym tygodniu. "To doprowadziło do przekierowania kilku adresów stron internetowych do strony z wiadomościami, z uszkodzoną wiadomością w języku tureckim przez kilka godzin. Prawie wszystkie z tych witryn były serwerami lustrzanymi witryn globalnych, takich jak google.pk, microsoft.pk lub place-holder dla międzynarodowych marek, które w rzeczywistości nie prowadzą działalności w Pakistanie, takich jak paypal.pk, itp. "

Botezatu wierzy że hakerzy, którzy przejęli DNS z domen rumuńskich w środę, mogą być tymi samymi, którzy byli odpowiedzialni za atak w Pakistanie w zeszłym tygodniu.

Coraz więcej ataków na organizacje rejestru domen najwyższego poziomu (ccTLD). W październiku atakującym udało się zmienić rekordy NS kilku irlandzkich nazw domen, w tym Google.ie i Yahoo.ie.

Dnia 9 listopada rejestr domeny.IE (IEDR) wydał oświadczenie, że incydent był wynikiem hakerów wykorzystujących lukę w zabezpieczeniach witryny rejestru.