Saldırganlar Google, Microsoft, Yahoo, .ro alan adlarını kaçırdılar

Google, Yahoo, Microsoft, Kaspersky Lab ve diğer şirketlerin Rumen alan adları Çarşamba günü kaçırıldı. Hollanda'da saldırıya uğramış sunucu.

Korsanlık DNS (Etki Alanı Adı Sistemi) seviyesinde gerçekleşti, saldırganlar google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky için DNS kayıtlarını değiştirdi.ro ve paypal.ro, güvenlik araştırmacısı Kaspersky Lab'deki küresel araştırma ve analiz ekibinin müdürü olan Costin Raiu'ya göre.

Bu, düzenli içerik yerine saldırgan tarafından sağlanan bir sayfayı gösteren web sitelerine yol açtı - genel olarak bilinen bir saldırı bir web sitesi defacement olarak. Bu durumda gösterilen haydut sayfası, saldırganı MCA-CRB kullanarak bir Cezayirli hacker'a atfediyordu. Hacker aynı zamanda Zone-H.org web sitesinde yer alan bir Web arşivi arşivindeki sayfaların ekran görüntülerini yayınladı.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Hacker, etki alanlarını Hollanda-server1.joomlapartner.nl-sunucusunun da saldırıya uğramış gibi görünen sunucu, Rumen antivirüs satıcısı Bitdefender'ın üst düzey bir e-tehdit analisti olan Bogdan Botezatu.

Botezatu, DNS kayıtlarının bir sonucu olarak değiştirildiğine inanıyor. RoTLD alan adı kayıt defterinde, tüm.ro etki alanı için yetkili DNS sunucularını yöneten bir güvenlik ihlali var.

RoTLD kayıt defterini çalıştıran kuruluş olan Romanya Ulusal Bilişim Araştırma ve Geliştirme Enstitüsü, bir talebe yanıt vermedi Yorum yapmak için.

.ro alan adı sahiplerinin etki alanlarını yönetmek için kullandıkları RoTLD Web sisteminin bir uzlaşması veya kayıt defterinin DNS sunucuları olasılıklardan biridir, Raiu dedi.

Kaspersky Lab'ın RoTLD hesabı kas yönetmek Raiu, etkilenen alan adlarından birinin persky.ro- herhangi bir uyarı veya başka bir açıklık belirtisi göstermediğini söyledi. Ancak, bu bir bilgisayar korsanı doğrudan bir RoTLD yöneticisi hesabına erişim kazanma olasılığını dışlamaz, dedi.

Kaspersky RoTLD ile resmi bir şikayette bulunma sürecinde olduğunu söyledi, Raiu dedi.

Başka bir senaryo, saldırganları içerir Google'ın genel DNS çözümleyici sunucularına 8.8.8.8 ve 8.8.4.4-Kaspersky araştırmacılarının Çarşamba günkü bir blog yayınına gönderildiğini söyleyen bir DNS zehirlenmesi saldırısının başlatılmasıyla sonuçlanan sahte DNS kayıtları ortaya çıktı.

Tüm Romen kullanıcıları etkilenmedi. saldırı ile. Aslında, birçok Romen İSS'lerinin DNS çözümleyici sunucuları zehirli kayıtları rapor etmedi, dedi Raiu.

Ancak, bu önbellekleme zamanlarındaki farklılıklardan kaynaklanıyor olabilir. Google'ın genel DNS sunucuları, bazı ISP'lerin DNS çözümleyicilerinden daha hızlı şekilde RoTLD tarafından işletilenler gibi yetkili DNS sunucularını sorgulayarak DNS kayıtlarını yenilemek üzere yapılandırılabilir.

Google'ın bir temsilcisinin Çarşamba günü yaptığı açıklamada, "Romanya'daki Google hizmetleri saldırıya uğramadı" dedi. e-posta yoluyla. “Kısa bir süre için www.google.ro sitesini ziyaret eden bazı kullanıcılar ve diğer birkaç web adresi farklı bir web sitesine yönlendirildi. Romanya’daki alan adlarını yönetmekten sorumlu kuruluşla irtibat halindeyiz. ”

Yahoo’nun bir sözcüsü e-posta yoluyla yaptığı açıklamada," Yahoo.ro’nun bazı kullanıcıların Romanya’da bulunmadığının farkındayız. “Bu sorun çözülüyor ve bu durumun neden olabileceği rahatsızlıktan dolayı özür dileriz.”

Microsoft, e-postayla gönderilen bir bildiride, 27 Kasım'da Microsoft.ro'nun bir üçüncü taraf DNS sorunu tarafından etkilendiğini söyledi. “Bu site tamamen restore edildi ve hiçbir müşteri bilgisinin ele geçirilmediğini teyit edebiliriz. Güvenlik uygulamalarını değerlendirmek için üçüncü taraf ortaklarımızla birlikte çalışıyoruz. ”

paypal.ro alan adının aslında PayPal'a ait olup olmadığı net değil. PayPal, açıklama isteğinde bulunma isteğine hemen yanıt vermedi.

Romanya'daki saldırı, geçen hafta Pakistan'da meydana gelen ve Google, Microsoft, Yahoo, PayPal ve diğer şirketlerin.pk alanlarını etkileyen benzer bir saldırıyı takip ediyor. Güvenlik ihlali,.pk alan adı tescili PKNIC'e kadar izlendi.

“PKNIC, sistemlerinden birinde, dört kullanıcı hesabının 23 Kasım Cuma gününe kadar ihlal edilmesine neden olan bir güvenlik açığından haberdar oldu. Kayıtlar, toplamda yaklaşık elli bin, "dedi. “Bu bir mesaj sayfasına yönlendirilmek üzere birkaç web sitesinin adreslerine yönlendirildi ve birkaç saat boyunca Türkçe dilinde hatalı bir mesaj çıktı. Bu web sitelerinin neredeyse tamamı google.pk, microsoft.pk gibi global sitelerin aynaları ya da Pakistan'da iş yapmayan Uluslararası marka isimleri için paypal.pk vb. Gibi yerlerin aynalarıydı. ”

Botezatu, Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Roman Ekim ayında, saldırganlar Google.ie ve Yahoo.ie dahil olmak üzere birkaç İrlanda alan adının NS kayıtlarını değiştirmeyi başardılar.

9 Kasım'da.IE Domain Registry (IEDR), olayın sonuç olduğunu belirten bir bildiri yayınladı Hackerların sitenin güvenlik açığından yararlanması.