Инциденты

Google.ro и другие сайты национального домена .ro стали жертвами DNS-атаки

28 ноября сайт Softpedia.com — популярный англоязычный сайт, индексирующий информацию и предлагающий для скачивания ПО — сообщил о том, что некий хакер из Алжира под ником MCA-CRB смог взломать сайты Google (google.ro) и Yahoo! (yahoo.ro), относящиеся к национальному домену Румынии.

Скриншот взломанного сайта Google.ro

Узнав об этом инциденте, мы весьма скептически отнеслись к самой возможности взлома этих веб-сайтов. Взлом такого большого сайта, как Google, теоретически возможен, но весьма маловероятен. Затем мы выяснили, что доменные имена обоих сайтов транслируются в IP-адрес 95.128.3.172 (server1.joomlapartner.nl), расположенный в Нидерландах. Таким образом, инцидент больше похож на отравление DNS-сервера (DNS poisoning attack).

Вопрос, на который в настоящий момент нет ответа — где именно произошла атака, направленная на подмену/компрометацию DNS. Существует несколько возможных сценариев:

  • Имел место взлом регистратора доменных имён верхнего уровня Румынии (RoTLD), в результате чего атакующая сторона получила доступ ко всем DNS-настойкам домена .ro. По факту оказались затронутыми не все домены .ro, так что данный сценарий весьма маловероятен.
  • Оказались скомпрометированы учётные записи Google и Yahoo в RoTLD, в результате чего хакеры изменили их DNS-настойки. Данный сценарий также маловероятен: мы выяснили, что атаке подверглись не только веб-сайты Google и Yahoo, но и Paypal, Microsoft и другие.
  • Наиболее правдоподобным кажется предположение, что в Румынии происходит атака Каминского на уровне интернет-провайдеров. Обращения к некоторым сайтам перенаправляются, другие — нет.

Этот инцидент мог бы привести к гораздо более тяжелым последствиям, если бы у атакующей стороны были не просто прославиться, взломав известные сайты. Можете представить себе, сколько учётных записей могло быть скомпрометировано, если бы со взломанных сайтов перенаправление шло не на дефейс, а на фишинг-страницу.

Мы протестировали различные DNS-серверы и проверили, не подверглись ли они воздействию данной атаки. Скомпрометированными оказались лишь 8.8.8.8 и 8.8.4.4 (публичные DNS-серверы Google). У других румынских DNS-серверов такого поведения не обнаружено.

Вы сами можете убедиться в том, что эти DNS-сервера подверглись атаке Каминского при помощи утилиты dig, послав запрос dig @8.8.8.8 google.ro или dig @8.8.4.4 google.ro.

По данным нашего мониторинга, DNS-сервер(ы) Google перестали выдавать ответы, содержащие «отравленные» IP-адреса. По-видимому, проблема с доменным именем Google.ro исправлена на обоих DNS-серверах. Проблема с другими доменными именами (например, с Paypal.ro) пока сохраняется.

Обновление. После анализа последних данных мы склоняемся к выводу, что наиболее вероятный сценарий атаки на DNS-сервера — это взлом на уровне регистратора доменных имён верхнего уровня Румынии (RoTLD). Ранее в ноябре произошел аналогичный инцидент, в ходе которого был взломан реестр доменных имён Ирландии (Irish Domain Registry, IEDR). Отчёт IEDR доступен здесь. Официального сообщения от RoTLD ещё не было.

Вот полный список доменов зоны .ro, которые пострадали в результате инцидента 28 ноября:

  • google.ro
  • yahoo.ro
  • microsoft.ro
  • paypal.ro
  • kaspersky.ro
  • windows.ro
  • hotmail.ro

Мы продолжаем следить за ситуацией.

Google.ro и другие сайты национального домена .ro стали жертвами DNS-атаки

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике