Atacatorii au deturnat domeniile .ro ale Google, Microsoft, Yahoo, alții

Numele de domenii românești Google, Yahoo, Microsoft, Kaspersky Lab și alte companii au fost deturnate miercuri și au fost redirecționate către hacked server în Olanda

Deturnarea a avut loc la nivelul DNS (Domain Name System), cu atacatorii care modifică înregistrările DNS pentru google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro și paypal.ro, potrivit lui Costin Raiu, directorul echipei globale de cercetare și analiză a furnizorului de securitate Kaspersky Lab.

Acest lucru a dus la afișarea de pagini web care conțin o pagină furnizată de un atacator în loc de conținutul lor obișnuit - un atac cunoscut ca defaimare a site-ului web. Paginile necinstite afișate în acest caz au atribuit atacul unui hacker algerian folosind aliasul MCA-CRB. De asemenea, hacker-ul a postat fotografii de pe site-urile defaimate de pe site-ul Zone-H.org, o arhivă de defaimare web.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

server din serverul olandez-server1.joomlapartner.nl - care, de asemenea, pare să fi fost hacked, a declarat Bogdan Botezatu, analist la Bitdefender, antivirus din România.

Botezatu consideră că înregistrările DNS au fost modificate ca urmare a o încălcare a securității la registrul de domenii RoTLD, care administrează serverele DNS autoritare pentru întreg spațiul de domenii.ro

Institutul Național de Cercetare-Dezvoltare în Informatică din România, organizația care administrează registrul RoTLD, nu a răspuns la o solicitare pentru un comentariu

Un compromis al sistemului RoTLD Web folosit de proprietarii numelor de domenii.ro pentru administrarea domeniilor lor sau serverele DNS ale registrului este una dintre posibilitatile, a spus Raiu

Contul RoTLD al Kaspersky Lab, folosit pentru administrează kas persky.ro - unul dintre numele de domenii afectate - nu a afișat alerte sau alte semne evidente de compromis, a spus Raiu. Cu toate acestea, acest lucru nu exclude posibilitatea ca hackerii să aibă acces direct la contul unui administrator RoTLD, a afirmat el.

Kaspersky este în curs de a depune o plângere oficială la RoTLD, a spus Raiu

Un alt scenariu implică atacatori lansarea unui așa-numit atac de intoxicație DNS, care a dus la introducerea de înregistrări DNS necinstite în serverele de rezoluție publică DNS ale Google-8.8.8.8 și 8.8.4.4 - au declarat miercuri cercetători Kaspersky într-un post pe blog

Nu toți utilizatorii români au fost afectați de atac. De fapt, serverele de rezolvare a DNS ale multor ISP-uri române nu au raportat înregistrările otrăvit, a spus Raiu.

Totuși, acest lucru ar putea fi cauzat de diferențele în timpul cache-ului. Serverele DNS publice ale Google ar putea fi configurate pentru a reîmprospăta înregistrările DNS interogând serverele DNS autoritare, cum ar fi cele operate de RoTLD, mai repede decât soluțiile DNS ale unor ISP.

"Serviciile Google din România nu au fost hackate", a declarat un reprezentant Google prin email. "Pentru o perioadă scurtă de timp, unii utilizatori care au vizitat www.google.ro și alte câteva adrese web au fost redirecționați către un alt site web. Suntem în contact cu organizația responsabilă cu gestionarea numelor de domenii în România. "

" Suntem conștienți că Yahoo.ro a fost inaccesibil pentru unii utilizatori din România ", a declarat purtătorul de cuvânt al Yahoo prin e-mail. "Această problemă este rezolvată și ne cerem scuze pentru eventualele neplăceri cauzate de aceasta."

"Pe 27 noiembrie Microsoft.ro a fost afectată de o problemă DNS a unei terțe părți", a declarat Microsoft într-o declarație trimisă prin e-mail. "Site-ul a fost restaurat pe deplin și putem confirma că nici o informație despre client nu a fost compromisă. Lucrăm cu partenerii noștri terți pentru a evalua practicile lor de securitate. "

Nu este clar dacă numele de domeniu paypal.ro este proprietatea PayPal. PayPal nu a răspuns imediat la o solicitare de clarificare a comentariului.

Atacul din România urmează un incident similar celui petrecut săptămâna trecută în Pakistan și a afectat domeniile.pk ale Google, Microsoft, Yahoo, PayPal și alte companii. "PKNIC a devenit conștient de o vulnerabilitate în unul dintre sistemele sale, ceea ce a cauzat un total de patru conturi de utilizator care au fost încălcate vineri seara, 23 noiembrie, cu impact asupra a nouă DNS înregistrări, dintr-un total de aproximativ cincizeci de mii ", a spus registrul într-o declarație publicată pe site-ul său săptămâna aceasta. "Aceasta a dus la redirecționarea mai multor adrese de pe o pagină de mesaj, cu un mesaj defăcut în limba turcă timp de câteva ore. Aproape toate aceste site-uri au fost oglinzi ale site-urilor globale, cum ar fi google.pk, microsoft.pk sau deținători de nume pentru nume de marcă internaționale care nu fac afaceri în Pakistan cum ar fi paypal.pk, etc. "

Botezatu crede că hackerii care au deturnat miercuri DNS din domeniile românești ar putea fi aceiași care au fost responsabili pentru atacul din Pakistan săptămâna trecută.

Organizațiile de registru ale atacurilor împotriva domeniului de domeniu de nivel superior (ccTLD) par să crească. În octombrie, atacatorii au reușit să schimbe înregistrările NS ale câtorva nume de domenii irlandeze, inclusiv Google.ie și Yahoo.ie.

La 9 noiembrie, Registrul de domenii.IE (IEDR) a emis o declarație în care spune că incidentul a fost rezultatul de hackeri care exploatează o vulnerabilitate în site-ul web al registrului.