Attackere kapsler .ro-domænerne fra Google, Microsoft, Yahoo, andre

De rumænske domænenavne på Google, Yahoo, Microsoft, Kaspersky Lab og andre virksomheder blev kapret på onsdag og omdirigeret til en hacked server i Holland.

Kappingen fandt sted på DNS-niveauet (Domain Name System), hvor angriberne ændrede DNS-posterne til google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro og paypal.ro, ifølge Costin Raiu, direktør for det globale forsknings- og analyseteam hos sikkerhedsleverandøren Kaspersky Lab.

Dette førte til, at hjemmesiderne viste en angriber-leveret side i stedet for deres regelmæssige indhold - et angreb, der er almindeligt kendt som et website defacement. Den uhyggelige side, der vises i dette tilfælde, tilskrives angrebet til en algerisk hacker ved hjælp af alias MCA-CRB. Hackeren sendte også skærmbilleder af de beskadigede websteder på webstedet Zone-H.org, et webdefekteringsarkiv.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Hackeren pegede domænerne på en server i Holland-server1.joomlapartner.nl - der synes også at være blevet hacket, sagde Bogdan Botezatu, en senior e-trussel analytiker hos den rumænske antivirusleverandør Bitdefender.

Botezatu mener, at DNS-registrene blev ændret som følge af et sikkerhedsbrud på RoTLD-domæneregistret, som administrerer de autoritative DNS-servere for hele.ro-domæneområdet.

Det rumænske institut for informatikforskning og -udvikling, organisationen, der kører RoTLD-registreringsdatabasen, reagerede ikke på en anmodning til kommentar.

Et kompromis af RoTLD Web-systemet, der anvendes af.ro domænenavneejere til administration af deres domæner, eller registreringsdatabasenes DNS-servere, er en af ​​mulighederne, som Raiu sagde.

Kaspersky Labs RoTLD-konto, der var vant til administrere kas persky.ro-et af de berørte domænenavne - viste ingen advarsler eller andre åbenbare tegn på kompromis, sagde Raiu. Dette udelukker dog ikke muligheden for hackere at få adgang til en RoTLD-administrator direkte, sagde han.

Kaspersky er ved at indgive en officiel klage til RoTLD, siger Raiu.

Et andet scenario involverer angribere lancering af et såkaldt DNS-forgiftningsangreb, hvilket resulterede i, at skurkede DNS-poster blev indsat i Googles offentlige DNS-resolver-servere-8.8.8.8 og 8.8.4.4-Kaspersky-forskere sagde onsdag i et blogindlæg.

Ikke alle rumænske brugere blev ramt ved angrebet. Faktisk rapporterede DNS-resolver-serverne fra mange rumænske internetudbydere ikke de forgiftede poster, siger Raiu.

Dette kan dog skyldes forskelle i caching-tider. Googles offentlige DNS-servere kan muligvis konfigureres til at opdatere DNS-poster ved at forhøre autoritative DNS-servere, som dem, der drives af RoTLD, hurtigere end DNS-resolvere fra nogle internetudbydere.

"Google-tjenester i Rumænien blev ikke hacket", sagde en Google-repræsentant onsdag via e-mail. "I en kort periode blev nogle brugere, der besøgte www.google.ro og et par andre webadresser, omdirigeret til et andet websted. Vi er i kontakt med den organisation, der er ansvarlig for at administrere domænenavne i Rumænien. "

" Vi er opmærksomme på, at Yahoo.ro var utilgængeligt for nogle brugere i Rumænien, "sagde en Yahoo-talsmand via e-mail. "Dette problem er løst, og vi undskylder for eventuelle ulemper, det måtte have forårsaget."

"Den 27. november blev Microsoft.ro påvirket af et tredjeparts DNS-problem," sagde Microsoft i en mailet udsagn. "Siden er siden blevet fuldt restaureret, og vi kan bekræfte, at ingen kundeoplysninger blev kompromitteret. Vi arbejder sammen med vores tredjeparts partnere for at evaluere deres sikkerhedspraksis. "

Det er ikke klart, om paypal.ro domænenavnet faktisk ejes af PayPal. PayPal reagerede ikke straks på en anmodning om bemærkning om præcisering.

Angrebet i Rumænien følger en lignende, der fandt sted sidste uge i Pakistan og ramte.pk domænerne i Google, Microsoft, Yahoo, PayPal og andre virksomheder. Sikkerhedsbruddet blev sporet tilbage til PKNIC,.pk-domæneregistret.

"PKNIC blev opmærksom på en sårbarhed i et af sine systemer, hvilket medførte, at i alt fire brugerkonti blev brudt fredag ​​aften den 23. november, hvilket påvirker ni DNS optegnelser, ud af i alt omkring halvtreds tusind, "registrerede registret i en erklæring offentliggjort på sin hjemmeside i denne uge. "Det førte til, at flere webadresser blev omdirigeret til en meddelelsesside, med en beskeden besked på tyrkisk sprog i et par timer. Næsten alle disse hjemmesider var spejle på globale websteder som google.pk, microsoft.pk eller stedholdere til internationale varemærker, der ikke rent faktisk driver forretning i Pakistan som paypal.pk osv. "

Botezatu mener at hackerene, der kapret DNS på de rumænske domæner onsdag, kunne være de samme som ansvarlig for angrebet i Pakistan i sidste uge.

Tilstedeværelsen af ​​angreb på registreorganisationer for landskode øverste domæner (ccTLD) synes at være stigende. I oktober klarte angribere at ændre NS-optegnelser fra flere irske domænenavne, herunder Google.ie og Yahoo.ie.

Den 9. november udstedte.IE Domain Registry (IEDR) en erklæring om, at hændelsen var resultatet af hackere, der udnytter en sårbarhed på registerets hjemmeside.