Angrepere kapsler .ro-domenene til Google, Microsoft, Yahoo, andre

De rumenske domenenavnene på Google, Yahoo, Microsoft, Kaspersky Lab og andre selskaper ble kapret på onsdag og ble omdirigert til en hacked server i Nederland.

Kappingen skjedde på DNS-nivået (Domain Name System), med angripere som endret DNS-postene for google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro og paypal.ro, ifølge Costin Raiu, direktør for det globale forsknings- og analyseteamet hos sikkerhetsleverandøren Kaspersky Lab.

Dette førte til at nettsidene viser en angriper-forsynt side i stedet for deres vanlige innhold - et angrep kjent som kjent. som en nettsidemangel. Den skurkiske siden som vises i dette tilfellet tilskrives angrepet til en algerisk hacker ved hjelp av alias MCA-CRB. Hackeren skrev også skjermbilder av de skadede nettstedene på nettstedet Zone-H.org, et webdefekteringsarkiv.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Hackeren pekte domenene til en server i Nederland-server1.joomlapartner.nl-som også ser ut til å ha blitt hacket, sa Bogdan Botezatu, en senior e-trusselytiker ved den rumenske antivirusleverandøren Bitdefender.

Botezatu mener at DNS-postene ble endret som følge av et sikkerhetsbrudd på RoTLD-domeneregisteret, som administrerer de autoritative DNS-serverne for hele.ro-domenerommet.

Det rumenske instituttet for informatikkforskning og -utvikling, organisasjonen som kjører RoTLD-registret, reagerte ikke på en forespørsel for kommentar.

Et kompromiss av RoTLD Web-systemet som brukes av.ro-domenenavnseiere til å administrere sine domener, eller registerets DNS-servere, er en av mulighetene Raiu sa.

Kaspersky Labs RoTLD-konto som ble brukt til administrere kas persky.ro-en av de berørte domenenavnene - viste ingen varsler eller andre åpenbare tegn på kompromiss, sa Raiu. Dette utelukker imidlertid ikke muligheten for hackere å få tilgang til kontoen til en RoTLD-administrator direkte, sa han.

Kaspersky er i ferd med å sende inn en offisiell klage med RoTLD, sier Raiu.

Et annet scenario involverer angripere lanserer et såkalt DNS-forgiftningsangrep, som resulterte i at falske DNS-poster ble satt inn i Googles offentlige DNS-resolver-servere-8.8.8.8 og 8.8.4.4-Kaspersky-forskere sa onsdag i et blogginnlegg.

Ikke alle rumenske brukere ble berørt ved angrepet. Faktisk rapporterte DNS-resolver-serverne fra mange rumenske Internett-leverandører ikke de forgiftede postene, sier Raiu.

Dette kan imidlertid skyldes forskjeller i caching-tidene. Googles offentlige DNS-servere kan konfigureres til å oppdatere DNS-poster ved å forhøre autoriserte DNS-servere, som de som drives av RoTLD, raskere enn DNS-resolvere fra noen Internett-leverandører.

"Google-tjenester i Romania ble ikke hacket," sa en Google-representant onsdag via e-post. "I noen få minutter ble noen brukere besøkt www.google.ro og noen andre webadresser omdirigert til et annet nettsted. Vi er i kontakt med organisasjonen som er ansvarlig for å administrere domenenavn i Romania. "

" Vi er klar over at Yahoo.ro var utilgjengelig for noen brukere i Romania, "sa en Yahoo-talskvinne via e-post. "Dette problemet er løst, og vi ber om unnskyldning for eventuelle ulemper dette kan ha forårsaket."

"Den 27. november ble Microsoft.ro påvirket av et tredjeparts DNS-problem," sa Microsoft i en e-postmelding. "Siden har siden blitt fullstendig restaurert, og vi kan bekrefte at ingen kundeinformasjon ble kompromittert. Vi jobber med våre tredjepartspartnere for å evaluere deres sikkerhetspraksis. "

Det er ikke klart om paypal.ro domenenavnet faktisk eies av PayPal. PayPal reagerte ikke umiddelbart på en forespørsel om tilbakemelding på forespørsel.

Angrepet i Romania følger en lignende som skjedde forrige uke i Pakistan og påvirket.pk-domenene til Google, Microsoft, Yahoo, PayPal og andre selskaper. Sikkerhetsbruddene ble sporet tilbake til PKNIC, registeret.pk-domenenavn.

"PKNIC ble klar over et sikkerhetsproblem i et av systemene sine, noe som førte til at fire brukerkontoer ble brutt fredag ​​kveld 23. november, og påvirket ni DNS poster, ut av totalt rundt femti tusen, "registret sa i en uttalelse publisert på sin nettside denne uken. "Det førte til at flere nettadresser ble omdirigert til en meldingsside, med en feilmelding på tyrkisk språk i noen timer. Nesten alle disse nettstedene var speil på globale nettsteder som google.pk, microsoft.pk eller plassholdere for internasjonale merkenavn som ikke faktisk driver virksomhet i Pakistan som paypal.pk, etc. "

Botezatu mener at hackerne som kapret DNS på de rumenske områdene onsdag, kan være de samme som er ansvarlige for angrepet i Pakistan i forrige uke.

Angrepene mot registerkodeorganisasjoner for landskode øverste nivå (ccTLD) synes å være økende. I oktober klarte angriperne å endre NS-postene fra flere irske domenenavn, inkludert Google.ie og Yahoo.ie.

Den 9. november utstedte.IE Domain Registry (IEDR) en erklæring om at hendelsen var resultatet av hackere som utnytter et sårbarhet på registerets nettsted.