В прошедшие несколько дней был произведен «дефейс» нескольких популярных сайтов, в том числе сайтов двух известных компаний в сфере защиты. Кроме того, дефейсу были подвергнуты и такие домены, как alexa.com, whatsapp.com и redtube.com. Как показал наш быстрый анализ, сам веб-сервер взломан не был. Наиболее вероятным вектором атаки послужил DNS-сервер, контроль над которым перешел к злоумышленникам.
При более детальном рассмотрении становятся заметны некоторые очевидные следы, но нет никаких указаний на то, что конкретно сделали хакеры или какой информацией они смогли завладеть. Анализируя предыдущие взломы и дефейсы, можно сказать, что появилась некая новая тенденция, в рамках которой группировки хакеров и дефейсеров стремятся получить контроль над регистраторами DNS и доменов, вместо того чтобы взламывать соответствующий веб-сервер.
Все сайты, взломанные 7 и 8 октября, имеют в своих DNS запись о недавних обновлениях, и все они пользуются услугами одного и того же DNS-регистратора – NETWORK SOLUTIONS, LLC.
Еще один интересный факт: все домены, атакованные 7 и 8 октября, имели статус «clientTransferProhibited», в то время как в домене alexa.com, обновленном 10 сентября 2013 года, также были включены дополнительные серверные настройки. Имеет ли это непосредственное отношение к атаке, пока сказать сложно.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
<b>Domain Name: REDTUBE.COM</b> Registrar: NETWORK SOLUTIONS, LLC. Status: clientTransferProhibited Updated Date: 07-oct-2013 <b>Domain Name: ALEXA.COM</b> Registrar: NETWORK SOLUTIONS, LLC. Status: clientTransferProhibited Status: serverDeleteProhibited Status: serverTransferProhibited Status: serverUpdateProhibited Updated Date: 10-sep-2013 <b>Domain Name: WHATSAPP.COM</b> Registrar: NETWORK SOLUTIONS, LLC. Status: clientTransferProhibited Updated Date: 08-oct-2013 |
В период между атаками на указанные сайты крупный хостинг-провайдер LeaseWeb написал о взломе их DNS-серверов в своем блоге.
Что интересно, после взломов сам LeaseWeb сменил регистратора и перешел к KeySystems Gmbh.
До 8 октября мы не располагали информацией о том, имел ли место взлом NETWORK SOLUTIONS, или хакеры получили доступ к логинам панели управления другими методами, например с помощью брутфорса (прямого подбора пароля). Помимо очевидной подмены DNS, была ли это просто политическая акция или злоумышленники использовали неизвестный эксплойт?
08 октября компания Avira подтвердила, что регистратор Network Solutions был взломан. Более подробную информацию можно найти в статье на Softpedia.
На момент написания блога мы все еще не можем сказать наверняка, что именно произошло, однако настоятельно рекомендуем всем обновиться до последней доступной версии защитного решения и сигнатурных баз, поскольку могут последовать новые взломы доменов.
А вот как выглядит веб-сайт, подвергшийся дефейсу:
Хакеры атакуют популярные сайты