Атакующие захватывают .ro домены Google, Microsoft, Yahoo и других

Румынские доменные имена Google, Yahoo, Microsoft, «Лаборатории Касперского» и других компаний были угнаны в среду и были перенаправлены на взломанный сервер в Нидерландах.

Угон произошел на уровне DNS (Domain Name System), при этом злоумышленники изменяли записи DNS для google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro и paypal.ro, по словам Костин Раю, директора глобальной исследовательской группы по анализу безопасности в Лаборатории Касперского «Лаборатория Касперского».

Это привело к тому, что веб-сайты отображали страницу, предназначенную для злоумышленников, вместо обычного контента - широко известная атака как повреждение веб-сайта. Страница мошенничества, отображаемая в этом случае, приписала атаку алжирскому хакеру, используя псевдоним MCA-CRB. Хакер также разместил скриншоты поврежденных веб-сайтов на веб-сайте Zone-H.org, архиве веб-архивов.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Хакер указал домены на сервер в Нидерландах-server1.joomlapartner.nl, который также, похоже, был взломан, сказал Богдан Ботезату, старший аналитик по электронной угрозе в румынском антивирусе Bitdefender.

Botezatu считает, что записи DNS были изменены в результате нарушение безопасности в реестре домена RoTLD, который управляет авторитетными DNS-серверами для всего пространства.ro. <.

. Румынский национальный институт исследований и разработок в области информатики, организация, которая управляет реестром RoTLD, не ответила на запрос для комментария.

Компромисс веб-системы RoTLD, используемый владельцами доменных имен.ro для администрирования своих доменов, или DNS-серверы реестра - одна из возможностей, сказал Райу.

Учетная запись RoTLD «Лаборатории Касперского», которая использовалась для управлять kas persky.ro - одно из затронутых доменных имен - не отображало никаких предупреждений или других очевидных признаков компромисса, сказал Райу. Тем не менее, это не исключает возможности доступа хакеров к учетной записи администратора RoTLD, сказал он.

Kaspersky находится в процессе подачи официальной жалобы в RoTLD, сказал Райу.

Другой сценарий касается злоумышленников запуск так называемой атаки DNS-отравления, в результате которой записи DNS-изгоев были вставлены на общедоступные DNS-серверы DNS-8.8.8.8 и 8.8.4.4, - сообщают исследователи в среду в блоге.

Не все румынские пользователи пострадали атакой. На самом деле серверы DNS-резольвера многих румынских интернет-провайдеров не сообщали о отравленных записях, сказал Райу.

Однако это может быть вызвано различиями в времени кеширования. Публичные DNS-серверы Google могут быть настроены на обновление DNS-записей путем опроса авторитетных DNS-серверов, таких как управляемые RoTLD, быстрее, чем DNS-разрешения некоторых интернет-провайдеров.

«Службы Google в Румынии не были взломаны», - сказал представитель Google в среду по электронной почте. «В течение короткого периода времени некоторые пользователи, посетившие www.google.ro и несколько других веб-адресов, были перенаправлены на другой веб-сайт. Мы находимся в контакте с организацией, ответственной за управление доменными именами в Румынии ».

« Мы знаем, что Yahoo.ro был недоступен для некоторых пользователей в Румынии », - заявила пресс-секретарь Yahoo по электронной почте. «Эта проблема решена, и мы приносим извинения за любые неудобства, которые это могло вызвать».

«27 ноября на Microsoft.ro повлияла проблема DNS сторонних производителей», - говорится в заявлении Microsoft в заявлении по электронной почте. «С тех пор сайт полностью восстановлен, и мы можем подтвердить, что информация о клиенте не была скомпрометирована. Мы работаем с нашими сторонними партнерами, чтобы оценить их методы обеспечения безопасности ».

Неясно, действительно ли доменное имя paypal.ro принадлежит PayPal. PayPal не сразу ответил на запрос о комментариях, требующий уточнения.

Атака в Румынии соответствует аналогичной ситуации, произошедшей на прошлой неделе в Пакистане, и затронула домены.pk Google, Microsoft, Yahoo, PayPal и других компаний. Нарушение безопасности было прослежено до PKNIC, реестра домена.pk.

«PKNIC стало известно об уязвимости в одной из своих систем, в результате чего в пятницу вечером 23 ноября было нарушено в общей сложности четыре учетных записи пользователей, что повлияло на девять DNS записи из общей суммы около пятидесяти тысяч », - говорится в заявлении реестра, опубликованном на его веб-сайте на этой неделе. «Это привело к тому, что несколько адресов веб-сайтов были перенаправлены на страницу сообщений с исправленным сообщением на турецком языке в течение нескольких часов. Почти все эти веб-сайты были зеркалами глобальных сайтов, таких как google.pk, microsoft.pk или владельцами мест для международных брендов, которые фактически не занимаются бизнесом в Пакистане, такие как paypal.pk и т. Д. »

Ботезату считает что хакеры, которые захватили DNS в румынских доменах в среду, могут быть теми же, кто несет ответственность за нападение в Пакистане на прошлой неделе.

Насилие в отношении организаций регистра верхнего уровня домена (ccTLD), похоже, растет. В октябре злоумышленникам удалось изменить NS-записи нескольких ирландских доменных имен, включая Google.ie и Yahoo.ie.

9 ноября регистратор домена.IE (IEDR) опубликовал заявление о том, что инцидент был результатом хакеров, использующих уязвимость на веб-сайте реестра.