Инциденты

Google.ro и другие сайты национального домена .ro стали жертвами DNS-атаки

28 ноября сайт Softpedia.com — популярный англоязычный сайт, индексирующий информацию и предлагающий для скачивания ПО — сообщил о том, что некий хакер из Алжира под ником MCA-CRB смог взломать сайты Google (google.ro) и Yahoo! (yahoo.ro), относящиеся к национальному домену Румынии.

Скриншот взломанного сайта Google.ro

Узнав об этом инциденте, мы весьма скептически отнеслись к самой возможности взлома этих веб-сайтов. Взлом такого большого сайта, как Google, теоретически возможен, но весьма маловероятен. Затем мы выяснили, что доменные имена обоих сайтов транслируются в IP-адрес 95.128.3.172 (server1.joomlapartner.nl), расположенный в Нидерландах. Таким образом, инцидент больше похож на отравление DNS-сервера (DNS poisoning attack).

Вопрос, на который в настоящий момент нет ответа — где именно произошла атака, направленная на подмену/компрометацию DNS. Существует несколько возможных сценариев:

  • Имел место взлом регистратора доменных имён верхнего уровня Румынии (RoTLD), в результате чего атакующая сторона получила доступ ко всем DNS-настойкам домена .ro. По факту оказались затронутыми не все домены .ro, так что данный сценарий весьма маловероятен.
  • Оказались скомпрометированы учётные записи Google и Yahoo в RoTLD, в результате чего хакеры изменили их DNS-настойки. Данный сценарий также маловероятен: мы выяснили, что атаке подверглись не только веб-сайты Google и Yahoo, но и Paypal, Microsoft и другие.
  • Наиболее правдоподобным кажется предположение, что в Румынии происходит атака Каминского на уровне интернет-провайдеров. Обращения к некоторым сайтам перенаправляются, другие — нет.

Этот инцидент мог бы привести к гораздо более тяжелым последствиям, если бы у атакующей стороны были не просто прославиться, взломав известные сайты. Можете представить себе, сколько учётных записей могло быть скомпрометировано, если бы со взломанных сайтов перенаправление шло не на дефейс, а на фишинг-страницу.

Мы протестировали различные DNS-серверы и проверили, не подверглись ли они воздействию данной атаки. Скомпрометированными оказались лишь 8.8.8.8 и 8.8.4.4 (публичные DNS-серверы Google). У других румынских DNS-серверов такого поведения не обнаружено.

Вы сами можете убедиться в том, что эти DNS-сервера подверглись атаке Каминского при помощи утилиты dig, послав запрос dig @8.8.8.8 google.ro или dig @8.8.4.4 google.ro.

По данным нашего мониторинга, DNS-сервер(ы) Google перестали выдавать ответы, содержащие «отравленные» IP-адреса. По-видимому, проблема с доменным именем Google.ro исправлена на обоих DNS-серверах. Проблема с другими доменными именами (например, с Paypal.ro) пока сохраняется.

Обновление. После анализа последних данных мы склоняемся к выводу, что наиболее вероятный сценарий атаки на DNS-сервера — это взлом на уровне регистратора доменных имён верхнего уровня Румынии (RoTLD). Ранее в ноябре произошел аналогичный инцидент, в ходе которого был взломан реестр доменных имён Ирландии (Irish Domain Registry, IEDR). Отчёт IEDR доступен здесь. Официального сообщения от RoTLD ещё не было.

Вот полный список доменов зоны .ro, которые пострадали в результате инцидента 28 ноября:

  • google.ro
  • yahoo.ro
  • microsoft.ro
  • paypal.ro
  • kaspersky.ro
  • windows.ro
  • hotmail.ro

Мы продолжаем следить за ситуацией.

Google.ro и другие сайты национального домена .ro стали жертвами DNS-атаки

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике