Hyökkääjät kaappaavat .ro-verkkotunnukset Google, Microsoft, Yahoo, Microsoft, Kaspersky Lab ja muut yritykset kaapattiin keskiviikkona ja ohjattiin hakkeroidulle palvelimelle Hollannissa.

kaappaus tapahtui DNS (Domain Name System) tasolla, hyökkääjät muokkaavat DNS-tietueet google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro ja paypal.ro, tietoturva-alan toimittajan Kaspersky Labin maailmanlaajuisen tutkimus- ja analysointiryhmän johtajan Costin Raiun mukaan.

Tämä johti verkkosivustoihin, jotka näyttivät hyökkääjän toimittaman sivun säännöllisen sisällön sijasta - kuten verkkosivujen häipyminen. Tässä tapauksessa esittämä väärennössivu osoitti hyökkäyksen algerialaiselle hakkereelle käyttämällä aliaksia MCA-CRB. Hakkeri lähetti myös väärennetyt verkkosivustot, jotka näkyivät Zone-H.org -verkkosivustossa, Web-defoiva arkistossa.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Hakkeri osoitti verkkotunnukset palvelin Hollannissa-server1.joomlapartner.nl - joka myös näyttää hakkeroivalta, sanoo romanialaisen virustentorjunnan myyjän Bitdefenderin johtava e-uhka-analysaattori Bogdan Botezatu.

Botezatu uskoo, että DNS-tietueita muutettiin seurauksena RoTLD-verkkotunnuksen rekisterissä, joka hallitsee koko.ro-verkkotunnuksen arvovaltaisia ​​DNS-palvelimia.

RoTLD-rekisterin ylläpitävä Romanian kansallinen tietotekniikan tutkimuslaitos ei ole vastannut pyyntöön Kommentti.

Ratkaisupyynnön tekijänoikeuslaitos, joka käyttää verkkotunnusten omistajien käyttämää RoTLD-verkkoa, hallinnoi verkkotunnuksiaan tai rekisterin DNS-palvelimia.

Kaspersky Lab: n RoTLD-tili, jota käytettiin hallinnoida kas persky.ro-yksi haavoittuvista verkkotunnuksista - ei näytä mitään hälytyksiä tai muita ilmeisiä kompromissiominaisuuksia, Raiu sanoi. Tämä ei kuitenkaan sulje pois mahdollisuutta, että hakijat pääsevät suoraan RoTLD-pääkäyttäjän tiliin, hän sanoi.

Kaspersky on käynnistänyt virallisen valituksen RoTLD: n kanssa, Raiu sanoi.

Toinen skenaario liittyy hyökkääjiin käynnistettiin ns. DNS-myrkytyskohtaus, joka johti väärennettyjen DNS-tietueiden lisäämiseen Googlen julkisiin DNS-resolver-palvelimiin-8.8.8.8 ja 8.8.4.4 -Kaspersky-tutkijat sanoivat keskiviikkona blogikirjoituksessa.

Kaikki romanialaiset käyttäjät eivät vaikuttaneet hyökkäys. Itse asiassa monien romanialaisten palveluntarjoajien DNS-resolver-palvelimet eivät ilmoittaneet myrkytyistä tietueita, Raiu sanoi.

Tämä saattaa kuitenkin johtua välimuistin aikaeroista. Googlen julkiset DNS-palvelimet saattavat olla konfiguroitu päivittämään DNS-tietueet haastelemalla arvokkaita DNS-palvelimia, kuten RoTLD: n ylläpitämiä DNS-palvelimia, nopeammin kuin joidenkin Internet-palveluntarjoajien DNS-resolverit.

"Google-palveluja Romaniassa ei hakattu", Google-edustaja totesi keskiviikkona sähköpostin välityksellä. "Lyhyellä ajanjaksolla käyttäjät, jotka vierailivat www.google.ro ja muutamia muita verkko-osoitteita, ohjattiin toiseen sivustoon. Olemme yhteydessä verkkotunnusten hallinnoinnista vastaavaan organisaatioon Romaniassa. "

" Olemme tietoisia siitä, että Yahoo.ro ei ollut saatavilla joistakin Romanian käyttäjistä ", Yahoo-tiedottaja sanoi sähköpostitse. "Tämä ongelma on ratkennut, ja pyydämme anteeksi mahdollisista haitoista."

"Marraskuun 27. päivänä Microsoft.ro vaikutti kolmannen osapuolen DNS-ongelmaan", Microsoft ilmoitti sähköpostitse. "Sivusto on sittemmin täysin palautettu, ja voimme vahvistaa, ettei mikään asiakastiedot ole vaarantunut. Teemme yhteistyötä kolmannen osapuolen kumppaneiden kanssa arvioidaksemme tietoturvakäytäntöjä. "

Ei ole selvää, onko paypal.ro-verkkotunnus todella PayPalin omistuksessa. PayPal ei vastannut välittömästi pyyntöön kommentoida selvennystä.

Romaniassa tapahtunut hyökkäys on samanlainen kuin viime viikolla Pakistanissa, ja se vaikutti Googlen, Microsoftin, Yahoo: n, PayPalin ja muiden yhtiöiden.pk-verkkotunnuksiin. Tietoturvan rikkominen johtui PKNIC: n.pk-verkkotunnuksen rekisteristä.

"PKNIC sai tietoonsa yhden järjestelmänsä haavoittuvuuden, joka aiheutti kaikkiaan neljää käyttäjätilien rikkomista perjantai-iltana 23. marraskuuta ja vaikutti yhdeksään DNS: hen kirjaa, yhteensä noin viisikymmentä tuhatta ", rekisteri sanoi julkilausumassa julkaistu verkkosivuillaan tällä viikolla. "Tämä johti siihen, että useita verkkosivustoosoitteita ohjattiin viestisivulle, jossa virheellinen viesti turkkilaisella kielellä muutaman tunnin ajan. Lähes kaikki näistä verkkosivuista olivat maailmanlaajuisten sivustojen peilit, kuten google.pk, microsoft.pk, tai paikanhaltijoita kansainvälisille tuotemerkkeille, jotka eivät todellisuudessa toimi Pakistanissa, kuten paypal.pk jne. "

Botezatu uskoo että hakkerit, jotka kaapasivat DNS-verkkotunnuksen keskiviikkona, saattavat olla samoja, jotka ovat vastuussa viime viikolla Pakistanissa tapahtuneesta hyökkäyksestä.

Maakoodin ylätason verkkotunnuksen (ccTLD) rekisterijärjestöjen hyökkäykset näyttävät kasvavan. Lokakuussa hyökkääjät pystyivät muuttamaan useiden irlantilaisten verkkotunnusten NS-tietueita, mukaan lukien Google.ie ja Yahoo.ie.

9. marraskuuta 2011.IE-verkkotunnusrekisteri (IEDR) antoi lausunnon, jonka mukaan tapahtuma oli tulos hakkereita, jotka käyttävät haavoittuvuutta rekisterin verkkosivuilla.