Китай Netcom упал в результате заражения кеша DNS

Один из крупнейших интернет-провайдеров в Китае (провайдеры интернет-услуг) стал жертвой опасной уязвимости в системе адресации Интернета, по словам поставщика безопасности Websense.

Ошибка, которая была описана как одна из самых серьезных из когда-либо затронутых Интернет, может привести к тому, что веб-серферы будут перенаправлены на мошеннические веб-сайты, даже если URL-адрес (Uniform Resource Locator) был правильно введен в адресной строке браузера.

Обнаруженный исследователем безопасности Дэном Камински, проблема связана с DNS (Система доменных имен). Когда пользователь вводит веб-адрес в браузер, запрос отправляется на DNS-сервер или кеш, который возвращает соответствующий цифровой IP-адрес (интернет-протокол) для веб-сайта.

[Подробнее читайте: Как удалить вредоносное ПО из ваш ПК с Windows]

Но недостаток позволяет DNS-серверу заполняться неправильной информацией и направлять пользователей на вредоносные веб-сайты. Атака в Китае Netcom особенно интересна, потому что она затрагивает только тех, кто пропустил определенные URL-адреса, сказал Карл Леонард, менеджер по исследованиям в области безопасности для европейской лаборатории Websense.

Последний взлом был обнаружен лабораторией Websense в Пекине, некоторые из исследователей которой используют China Netcom as их интернет-провайдер, сказал Леонард. Websense видел другие атаки DNS, но решил публиковать этот конкретный из-за его интересного исполнения, сказал он.

Хакеры подделали один из DNS-серверов China Netcom только для перенаправления пользователей, которые печатают, например, gogle.cn чем google.cn. Таким образом, меньшее количество пользователей направлено на вредоносные веб-сайты, но стратегия заключается в том, чтобы держать атаки более низкими, чтобы не привлекать внимание.

«Авторы malcode пытаются держаться под радаром», - сказал Леонард.

Жертвы перенаправляются на вредоносные веб-сайты, некоторые из которых по-прежнему активны, которые пытаются использовать известные уязвимости в программном обеспечении, таком как мультимедийный проигрыватель RealPlayer RealNetworks и Flash Player от Adobe.

Другой эксплойт пытается воспользоваться преимуществами проблема с элементом управления ActiveX для Microsoft Snapshot Viewer, используемым для просмотра отчетов для Microsoft Access, реляционной базы данных.

Хотя Adobe, Microsoft и RealPlayer выпустили исправления для некоторых из этих уязвимостей, хакеры все еще видят возможности. «Это говорит нам, что люди не применяли эти исправления», - сказал Леонард.

Если эксплойт будет успешным, ПК загрузит программу троянского коня, которая отключит обновления для антивирусного программного обеспечения, сказал Леонард. Websense уведомил China Netcom, но пока не уверен, что DNS-сервер был исправлен.

Kaminsky и другие исследователи скоординировали массовую секретную кампанию с поставщиками для исправления своего программного обеспечения DNS, но подробности о том, как использовать этот недостаток, были пропущены 21 июля. Однако не все интернет-провайдеры уже заражены, подвергая некоторых пользователей риску. Кроме того, доступные исправления просто уменьшают вероятность успеха атаки, а не полностью защищают DNS-сервер от атаки, сказал Леонард.

«Должно быть предоставлено более долгосрочное решение, - сказал Леонард.