Инциденты

Google.ro и другие сайты национального домена .ro стали жертвами DNS-атаки

28 ноября сайт Softpedia.com — популярный англоязычный сайт, индексирующий информацию и предлагающий для скачивания ПО — сообщил о том, что некий хакер из Алжира под ником MCA-CRB смог взломать сайты Google (google.ro) и Yahoo! (yahoo.ro), относящиеся к национальному домену Румынии.

Скриншот взломанного сайта Google.ro

Узнав об этом инциденте, мы весьма скептически отнеслись к самой возможности взлома этих веб-сайтов. Взлом такого большого сайта, как Google, теоретически возможен, но весьма маловероятен. Затем мы выяснили, что доменные имена обоих сайтов транслируются в IP-адрес 95.128.3.172 (server1.joomlapartner.nl), расположенный в Нидерландах. Таким образом, инцидент больше похож на отравление DNS-сервера (DNS poisoning attack).

Вопрос, на который в настоящий момент нет ответа — где именно произошла атака, направленная на подмену/компрометацию DNS. Существует несколько возможных сценариев:

  • Имел место взлом регистратора доменных имён верхнего уровня Румынии (RoTLD), в результате чего атакующая сторона получила доступ ко всем DNS-настойкам домена .ro. По факту оказались затронутыми не все домены .ro, так что данный сценарий весьма маловероятен.
  • Оказались скомпрометированы учётные записи Google и Yahoo в RoTLD, в результате чего хакеры изменили их DNS-настойки. Данный сценарий также маловероятен: мы выяснили, что атаке подверглись не только веб-сайты Google и Yahoo, но и Paypal, Microsoft и другие.
  • Наиболее правдоподобным кажется предположение, что в Румынии происходит атака Каминского на уровне интернет-провайдеров. Обращения к некоторым сайтам перенаправляются, другие — нет.

Этот инцидент мог бы привести к гораздо более тяжелым последствиям, если бы у атакующей стороны были не просто прославиться, взломав известные сайты. Можете представить себе, сколько учётных записей могло быть скомпрометировано, если бы со взломанных сайтов перенаправление шло не на дефейс, а на фишинг-страницу.

Мы протестировали различные DNS-серверы и проверили, не подверглись ли они воздействию данной атаки. Скомпрометированными оказались лишь 8.8.8.8 и 8.8.4.4 (публичные DNS-серверы Google). У других румынских DNS-серверов такого поведения не обнаружено.

Вы сами можете убедиться в том, что эти DNS-сервера подверглись атаке Каминского при помощи утилиты dig, послав запрос dig @8.8.8.8 google.ro или dig @8.8.4.4 google.ro.

По данным нашего мониторинга, DNS-сервер(ы) Google перестали выдавать ответы, содержащие «отравленные» IP-адреса. По-видимому, проблема с доменным именем Google.ro исправлена на обоих DNS-серверах. Проблема с другими доменными именами (например, с Paypal.ro) пока сохраняется.

Обновление. После анализа последних данных мы склоняемся к выводу, что наиболее вероятный сценарий атаки на DNS-сервера — это взлом на уровне регистратора доменных имён верхнего уровня Румынии (RoTLD). Ранее в ноябре произошел аналогичный инцидент, в ходе которого был взломан реестр доменных имён Ирландии (Irish Domain Registry, IEDR). Отчёт IEDR доступен здесь. Официального сообщения от RoTLD ещё не было.

Вот полный список доменов зоны .ro, которые пострадали в результате инцидента 28 ноября:

  • google.ro
  • yahoo.ro
  • microsoft.ro
  • paypal.ro
  • kaspersky.ro
  • windows.ro
  • hotmail.ro

Мы продолжаем следить за ситуацией.

Google.ro и другие сайты национального домена .ro стали жертвами DNS-атаки

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике