ÚTočníci únosy domén .ro společnosti Google, Yahoo, Yahoo

Rumunská doména Google, Yahoo, Microsoft, Kaspersky Lab a dalších společností byla ve středu unesena a byla přesměrována na hacked server v Nizozemsku.

Únosy na úrovni DNS (Domain Name System), s útočníky upravujícími záznamy DNS pro google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro a paypal.ro, říká Costin Raiu, ředitel globálního výzkumného a analytického týmu v bezpečnostním prodejci Kaspersky Lab.

To vedlo k tomu, že webové stránky zobrazovaly stránku namísto běžného obsahu stránky dodané útočníkem - běžně známý útok jako zneužití webových stránek. Stránka, která byla v tomto případě zobrazena, připisovala útoku alžírskému hackerovi pomocí aliasu MCA-CRB. Hacker také zveřejnil obrazovky z defakovaných webových stránek na webových stránkách Zone-H.org, archivu defragmentace webu.

[Další informace: Jak odstranit malware z vašeho počítače se systémem Windows]

Hacker ukázal domény na server v Nizozemsku - server1.joomlapartner.nl - který se také zdá být hacknut, řekl Bogdan Botezatu, senior analytik e-hrozby u rumunského dodavatele antivirových programů Bitdefender.

Botezatu se domnívá, že záznamy DNS byly změněny v důsledku narušení zabezpečení v registru domén RoTLD, který spravuje autoritativní servery DNS pro celý prostor domény.ro

Rumunský národní institut informatiky Výzkum a vývoj, organizace, která provozuje registr RoTLD, neodpověděla na žádost

RoTLD účet společnosti Kaspersky Lab, který byl zvyklý používat, je kompromis systému RoTLD Web používaného vlastníky domén.ro pro správu jejich domén nebo DNS serverů registru. spravovat kas persky.ro - jeden z dotčených doménových jmen - nezaznamenal žádné varování ani jiné zjevné známky kompromisů, řekl Raiu. To ale nevylučuje možnost, že hackeři budou mít přístup k účtu správce RoTLD přímo.

Kaspersky je v procesu podání oficiální stížnosti s RoTLD, řekl Raiu.

Jiný scénář zahrnuje útočníky uvedení tzv. DNS otravného útoku, které vedlo k tomu, že do serverů DNS společnosti DNS se vkládají nečestní záznamy DNS - 8.8.8.8 a 8.8.4.4 - výzkumníci společnosti Kaspersky uvedli ve středu na blogu.

Ne všichni rumunští uživatelé byli postiženi útokem. Ve skutečnosti servery DNS resolveru mnoha rumunských poskytovatelů internetových služeb nevykázaly otrávené záznamy, řekl Raiu.

To však mohlo být způsobeno rozdíly v ukládání do mezipaměti. Veřejné servery DNS společnosti Google mohou být nakonfigurovány tak, aby obnovovaly záznamy DNS dotazováním autoritativních serverů DNS, jako jsou servery provozované RoTLD, rychleji než řešitelé DNS některých poskytovatelů internetových služeb.

"Služby Google v Rumunsku nebyly hackovány", řekl zástupce společnosti Google prostřednictvím e-mailu. "Na krátkou dobu byli někteří uživatelé, kteří navštívili stránku www.google.cz a několik dalších webových adres, přesměrováni na jiný web. Jsme v kontaktu s organizací odpovědnou za správu doménových jmen v Rumunsku. "

" Jsme si vědomi toho, že Yahoo.ro je pro některé uživatele v Rumunsku nepřístupná, "řekla mluvčí Yahoo e-mailem. "Tento problém je vyřešen a my se omlouváme za případné nepříjemnosti, které to mohlo způsobit."

"Dne 27. listopadu byl na webu Microsoft.ro zasažen problém DNS třetí strany," uvedl Microsoft v e-mailovém prohlášení. "Stránka byla od té doby plně obnovena a můžeme potvrdit, že nebyly ohroženy žádné informace o zákaznících. Spolupracujeme s partnery třetí strany, abychom zhodnotili jejich bezpečnostní postupy. "

Není jasné, zda je název domény paypal.ro ve skutečnosti vlastněn službou PayPal. Služba PayPal neodpověděla okamžitě na žádost o vyjádření požadující vyjasnění.

Útok v Rumunsku následuje podobný útok, který se objevil minulý týden v Pákistánu a ovlivnil domény.pk společností Google, Microsoft, Yahoo, PayPal a dalších společností. "PKNIC si uvědomil zranitelnost v jednom ze svých systémů, který způsobil, že v pátek večer 23. listopadu došlo k porušení celkem čtyř uživatelských účtů, což mělo vliv na devět DNS z celkových zhruba padesáti tisíc, "uvedl registr ve svém prohlášení zveřejněném na svých internetových stránkách tento týden. "To vedlo k tomu, že několik adres webových stránek bylo přesměrováno na stránku s hlášením a několik hodin byla v tureckém jazyce odmítnutá zpráva. Téměř všechny tyto webové stránky byly zrcadly globálních webových stránek, jako je google.pk, microsoft.pk nebo držitelé titulů pro mezinárodní značky, kteří v Pákistánu skutečně nepodnikají, např. Paypal.pk atd. "

Botezatu věří že hackeři, kteří unesli DNS rumunských domén ve středu, by mohli být tentýž, kdo byl odpovědný za útok v Pákistánu minulý týden.

Zdá se, že útoky proti registru organizací registru domény nejvyšší úrovně (ccTLD) se zvyšují. V říjnu se útočníkům podařilo změnit záznamy NS několika irských názvů domén, včetně společností Google.ie a Yahoo.ie.

Dne ​​9. listopadu vydal.IE Domain Registry (IEDR) prohlášení, že incident byl výsledkem hackerů, kteří využívají chybu zabezpečení na webových stránkách registru.