Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Google.ro i inne rumuńskie domeny ofiarami ataków przekierowań DNS

Stefan Tanase
Kaspersky Lab Expert
Dodany 30 listopada 2012, 14:02 CET
Tagi:

28 listopada 2012 r. Softpedia ogłosiła, że algierski haker posługujący się pseudonimem MCA-CRB zdołał podmienić rumuńskie strony firm Google (google.ro) i Yahoo! (yahoo.ro).
Zrzut ekranu podmienionej domeny Google.ro

Kiedy dowiedzieliśmy się o tym incydencie, byliśmy dość sceptycznie nastawieni i trudno nam było uwierzyć, że strony te zostały zhakowane. Tak ogromna strona jak Google, może zostać teoretycznie zhakowana, ale jest to bardzo mało prawdopodobne. Potem jednak zauważyliśmy, że obie badane domeny rozwiązują się na adres IP zlokalizowany w Holandii: 95.128.3.172 (server1.joomlapartner.nl) – więc incydent wygląda raczej jak atak zatruwania DNS.

Pytanie, które aż do teraz pozostaje bez odpowiedzi brzmi: gdzie dokładnie wydarzył się atak spoofingu / zatruwania DNS. Istnieje kilka możliwych scenariuszy:

 

  • RoTLD (ang. Romanian Top Level Domain Registrar) zostało zhakowane, pozwalając atakującemu na dostęp do ustawień DNS wszystkich domen .RO. Jednak atak nie dotyczył wszystkich domen .RO, więc ten scenariusz jest bardzo mało prawdopodobny.
  • Konta Google i Yahoo! na RoTLD zostały naruszone, co pozwoliło atakującemu po prostu zmienić ich ustawienia DNS. Ten scenariusz jest również bardzo mało prawdopodobny, jako że odkryliśmy, iż ofiarą ataku padły nie tylko witryny Google i Yahoo!, ale także PayPal, Microsoft i inne.
  • W chwili obecnej, naszym najlepszym przypuszczeniem jest, iż w Rumunii ma miejsce atak zatruwania DNS na poziomie ISP (dostawcy usług internetowych). Niektóre domeny są przekierowywane, inne nie.

 

Wszystko to mogło wyglądać znacznie gorzej, gdyby atakujący miał inny cel, niż stanie się sławnym poprzez podmianę znanych stron. Wyobraźmy sobie, ile kont mogłoby zostać naruszonych, gdyby zamiast podmiany treści strony te zostały przekierowane na zasób phishingowy.

W chwili obecnej wykonujemy skanowanie wszystkich domen .RO w celu określenia zakresu tego ataku.

W miarę napotykania nowych informacji będziemy aktualizować ten artykuł.

AKTUALIZACJA 1 Przetestowaliśmy pod kątem ataku zatruwania różne serwery DNS i na chwilę obecną jedynymi, które odpowiedziały na przekierowane wejścia były 8.8.8.8 i 8.8.4.4 (publiczne serwery DNS Google'a). Nie mogliśmy zidentyfikować żadnego innego rumuńskiego serwera DNS, który wykazywałby takie zachowanie.

AKTUALIZACJA 2 Możecie sami przetestować atak zatruwania DNS wykorzystując polecenie dig: dig @8.8.8.8 google.ro lub dig @8.8.4.4 google.ro.

AKTUALIZACJA 3 Według naszego monitoringu, serwer(y) DNS Google'a pod 8.8.8.8 nie wysyła(ją) już zatrutych odpowiedzi. Serwer DNS Google'a pod 8.8.4.4 wciąż wydaje się przekierowywać użytkowników do adresu IP napastnika. Zakładamy, że właśnie teraz Google najprawdopodobniej naprawia naruszone rekordy.

AKTUALIZACJA 4 Wygląda na to, że problem z domeną Google.ro został rozwiązany na obu serwerach DNS (8.8.8.8 i 8.8.4.4). Inne domeny, jak np. Paypal.ro, wciąż nie zostały naprawione.

AKTUALIZACJA 5 Po przeanalizowaniu najnowszych dowodów, wydaje się, że najbardziej prawdopodobny scenariusz opisywanych ataków spoofingu / zatrucia DNS to naruszenia w RoTLD (Romanian Top Level Domain Registry). Wcześniej w tym miesiącu, podobne zdarzenie miało miejsce w irlandzkim IEDR (Irish Domain Registry). W tym miejscu można zapoznać się z oficjalnym oświadczeniem IEDR. RoTLD nie wystosowało jeszcze oficjalnego oświadczenia.
Pełna lista domen .RO, które były obiektem ataku:

  • google.ro
  • yahoo.ro
  • microsoft.ro
  • paypal.ro
  • kaspersky.ro
  • windows.ro
  • hotmail.ro
Wciąż monitorujemy zaistniałą sytuację.