Mga Attacker na nag-hijack sa mga domain ng Google ng Google, Microsoft, Yahoo, iba pa

Ang mga domain ng domain na Romanian ng Google, Yahoo, Microsoft, Kaspersky Lab at iba pang mga kumpanya ay na-hijack noong Miyerkules at na-redirect sa isang na-hack na server sa Netherlands.

Naganap ang pag-hijack sa antas ng DNS (Domain Name System), na may mga attacker na nagpapabago sa mga tala ng DNS para sa google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro at paypal.ro, ayon kay Costin Raiu, direktor ng pandaigdigang pananaliksik at pagtatasa ng koponan sa seguridad vendor Kaspersky Lab.

Ito ay humantong sa mga website na nagpapakita ng isang attacker-ibinigay na pahina sa halip ng kanilang mga regular na nilalaman - isang atake na karaniwang kilala bilang isang defacement ng website. Ang pusong pahina na ipinapakita sa kasong ito ay tumutukoy sa atake sa isang Algerian hacker gamit ang alias MCA-CRB. Ang taga-hack ay nag-post ng mga screen shot ng mga website na nasira sa website ng Zone-H.org, isang Web defacement archive.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Itinuro ng hacker ang mga domain sa isang server sa Netherlands-server1.joomlapartner.nl-na lumilitaw din na na-hack, sinabi Bogdan Botezatu, isang senior e-banta analyst sa Romanian antivirus vendor Bitdefender.

Naniniwala si Botezatu na ang mga tala ng DNS ay binago bilang isang resulta ng isang paglabag sa seguridad sa rehistradong domain ng RoTLD, na namamahala sa mga awtorisadong DNS server para sa buong domain ng.ro domain.

Ang Romanian National Institute of Informatics Research and Development, ang organisasyon na nagpapatakbo ng RoTLD registry, ay hindi tumugon sa isang kahilingan para sa mga komento.

Isang kompromiso ng RoTLD Web system na ginagamit ng mga may-ari ng domain name para sa pamamahala ng kanilang mga domain, o ang DNS server ng pagpapatala ay isa sa mga posibilidad, sinabi ni Raiu.

Kaspersky Lab ng RoTLD account na ginamit sa mangasiwa ng salapi Ang persky.ro-isa sa mga apektadong pangalan ng domain-ay hindi nagpapakita ng anumang mga alerto o iba pang malinaw na palatandaan ng kompromiso, sinabi ni Raiu.

Kaspersky ay nasa proseso ng pag-file ng opisyal na reklamo sa RoTLD, sinabi ni Raiu.

Ang isa pang sitwasyon ay nagsasangkot ng mga attackers naglunsad ng tinatawag na pag-atake sa pagkalason ng DNS, na nagresulta sa mga pag-uugali ng DNS na inilagay sa mga pampublikong DNS resolver server ng Google-8.8.8.8 at 8.8.4.4-Sinabi ng mga mananaliksik ng Kaspersky noong Miyerkules sa isang blog post.

Hindi lahat ng mga gumagamit ng Romanian ay naapektuhan sa pamamagitan ng pag-atake. Sa katunayan, ang mga DNS resolver server ng maraming mga Romanian ISP ay hindi nag-ulat ng mga poisoned na rekord, sinabi ni Raiu.

Gayunpaman, ito ay maaaring sanhi ng mga pagkakaiba sa oras ng pag-cache. Maaaring i-configure ang mga pampublikong DNS server ng Google upang i-refresh ang mga tala ng DNS sa pamamagitan ng pag-interrogate ng mga awtorisadong DNS server, tulad ng mga pinamamahalaan ng RoTLD, mas mabilis kaysa sa mga DNS resolution ng ilang mga ISP.

"Ang mga serbisyo ng Google sa Romania ay hindi na-hack." sa pamamagitan ng email. "Sa loob ng maikling panahon, ang ilang mga gumagamit na bumibisita sa www.google.ro at ilang iba pang mga web address ay nai-redirect sa ibang website. Nakikipag-ugnay kami sa organisasyon na responsable sa pamamahala ng mga pangalan ng domain sa Romania. "

" Alam namin na ang Yahoo.ro ay hindi maa-access sa ilang mga gumagamit sa Romania, "sinabi ng isang spokeswoman ng Yahoo sa pamamagitan ng email. "Ang isyu na ito ay nalutas at humihingi kami ng paumanhin para sa anumang abala na maaaring dulot nito."

"Noong Nobyembre 27, ang Microsoft.ro ay naapektuhan ng isyu ng DNS ng ikatlong partido," sinabi ng Microsoft sa isang emailed statement. "Ang site ay mula noon ay ganap na naibalik at maaari naming kumpirmahin na walang impormasyon sa customer ay naka-kompromiso. Nagsusumikap kami sa aming mga kasosyo sa ikatlong partido upang suriin ang kanilang mga kasanayan sa seguridad. "

Hindi malinaw kung ang domain ng paypal.ro ay tunay na pag-aari ng PayPal. Hindi agad tumugon ang PayPal sa isang kahilingan para sa komento na naghahanap ng paglilinaw.

Ang pag-atake sa Romania ay sumusunod sa isang katulad na nangyari noong nakaraang linggo sa Pakistan at apektado ang mga domain ng pk ng Google, Microsoft, Yahoo, PayPal at iba pang mga kumpanya. Ang pag-crash ng seguridad ay sinusubaybayan pabalik sa PKNIC, ang registry ng.pk domain.

"Ang PKNIC ay nakakaalam ng isang kahinaan sa isa sa mga system nito na naging sanhi ng kabuuang apat na account ng user na nilabag sa Biyernes ng gabi noong Nobyembre 23, na nakakaapekto sa siyam na DNS mga rekord, sa kabuuan ng humigit-kumulang na limampung libo, "ang sabi ng registry sa isang pahayag na inilathala sa website nito sa linggong ito. "Na humantong sa maraming mga address ng website na ma-redirect sa isang pahina ng mensahe, na may isang defaced mensahe sa Turkish wika para sa ilang oras. Halos lahat ng mga website na ito ay mga salamin ng mga pandaigdigang site tulad ng google.pk, microsoft.pk, o mga may-hawak ng lugar para sa Mga pangalan ng internasyonal na tatak na hindi talaga gumagawa ng negosyo sa Pakistan tulad ng paypal.pk, atbp. "

Naniniwala si Botezatu na ang mga hacker na nag-hijack sa DNS ng mga domains ng Romania Miyerkules ay maaaring ang parehong mga responsable para sa pag-atake sa Pakistan noong nakaraang linggo.

Ang mga pag-atake laban sa mga domain registry ng top-level domain (ccTLD) Noong Oktubre, ang mga attackers ay nagawang baguhin ang mga talaan ng NS ng ilang mga pangalan ng domain ng Ireland kabilang ang Google.ie at Yahoo.ie.

Noong Nobyembre 9, ang IED Domain Registry (IEDR) ay nagbigay ng pahayag na nagsasabi na ang insidente ay resulta ng mga hacker na pagsasamantala ng isang kahinaan sa website ng pagpapatala.