Google.ro и другие сайты национального домена .ro стали жертвами DNS-атаки

28 ноября сайт Softpedia.com — популярный англоязычный сайт, индексирующий информацию и предлагающий для скачивания ПО — сообщил о том, что некий хакер из Алжира под ником MCA-CRB смог взломать сайты Google (google.ro) и Yahoo! (yahoo.ro), относящиеся к национальному домену Румынии.

Скриншот взломанного сайта Google.ro

Узнав об этом инциденте, мы весьма скептически отнеслись к самой возможности взлома этих веб-сайтов. Взлом такого большого сайта, как Google, теоретически возможен, но весьма маловероятен. Затем мы выяснили, что доменные имена обоих сайтов транслируются в IP-адрес 95.128.3.172 (server1.joomlapartner.nl), расположенный в Нидерландах. Таким образом, инцидент больше похож на отравление DNS-сервера (DNS poisoning attack).

Вопрос, на который в настоящий момент нет ответа — где именно произошла атака, направленная на подмену/компрометацию DNS. Существует несколько возможных сценариев:

• Имел место взлом регистратора доменных имён верхнего уровня Румынии (RoTLD), в результате чего атакующая сторона получила доступ ко всем DNS-настойкам домена .ro. По факту оказались затронутыми не все домены .ro, так что данный сценарий весьма маловероятен.
• Оказались скомпрометированы учётные записи Google и Yahoo в RoTLD, в результате чего хакеры изменили их DNS-настойки. Данный сценарий также маловероятен: мы выяснили, что атаке подверглись не только веб-сайты Google и Yahoo, но и Paypal, Microsoft и другие.
• Наиболее правдоподобным кажется предположение, что в Румынии происходит атака Каминского на уровне интернет-провайдеров. Обращения к некоторым сайтам перенаправляются, другие — нет.

Этот инцидент мог бы привести к гораздо более тяжелым последствиям, если бы у атакующей стороны были не просто прославиться, взломав известные сайты. Можете представить себе, сколько учётных записей могло быть скомпрометировано, если бы со взломанных сайтов перенаправление шло не на дефейс, а на фишинг-страницу.

Мы протестировали различные DNS-серверы и проверили, не подверглись ли они воздействию данной атаки. Скомпрометированными оказались лишь 8.8.8.8 и 8.8.4.4 (публичные DNS-серверы Google). У других румынских DNS-серверов такого поведения не обнаружено.

Вы сами можете убедиться в том, что эти DNS-сервера подверглись атаке Каминского при помощи утилиты dig, послав запрос dig @8.8.8.8 google.ro или dig @8.8.4.4 google.ro.

По данным нашего мониторинга, DNS-сервер(ы) Google перестали выдавать ответы, содержащие «отравленные» IP-адреса. По-видимому, проблема с доменным именем Google.ro исправлена на обоих DNS-серверах. Проблема с другими доменными именами (например, с Paypal.ro) пока сохраняется.

Обновление. После анализа последних данных мы склоняемся к выводу, что наиболее вероятный сценарий атаки на DNS-сервера — это взлом на уровне регистратора доменных имён верхнего уровня Румынии (RoTLD). Ранее в ноябре произошел аналогичный инцидент, в ходе которого был взломан реестр доменных имён Ирландии (Irish Domain Registry, IEDR). Отчёт IEDR доступен здесь. Официального сообщения от RoTLD ещё не было.

Вот полный список доменов зоны .ro, которые пострадали в результате инцидента 28 ноября:

• google.ro
• yahoo.ro
• microsoft.ro
• paypal.ro
• kaspersky.ro
• windows.ro
• hotmail.ro

Мы продолжаем следить за ситуацией.