Những kẻ tấn công chiếm đoạt các miền .ro của Google, Microsoft, Yahoo, những người khác

Các tên miền Rumani của Google, Yahoo, Microsoft, Kaspersky Lab và các công ty khác bị tấn công vào thứ Tư và được chuyển hướng đến một máy chủ bị tấn công ở Hà Lan.

Cuộc tấn công xảy ra ở cấp DNS (Hệ thống tên miền), với những kẻ tấn công sửa đổi các bản ghi DNS cho google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro và paypal.ro, theo Costin Raiu, giám đốc của nhóm nghiên cứu và phân tích toàn cầu tại Kaspersky Lab.

Điều này dẫn đến việc các trang web hiển thị trang bị tấn công thay vì nội dung thông thường của họ. như là một trang web defacement. Trang giả mạo được hiển thị trong trường hợp này là do cuộc tấn công vào một hacker Algeria sử dụng bí danh MCA-CRB. Tin tặc cũng đăng các ảnh chụp màn hình của các trang web bị xóa trên trang web Zone-H.org, một kho lưu trữ trên web.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi máy tính Windows của bạn]

máy chủ ở Hà Lan-server1.joomlapartner.nl-mà dường như đã bị tấn công, Bogdan Botezatu, một nhà phân tích cao cấp về mối đe dọa điện tử tại nhà cung cấp phần mềm chống virus Rumani Bitdefender cho biết.

Botezatu tin rằng các bản ghi DNS đã được sửa đổi như là kết quả của vi phạm bảo mật tại đăng ký tên miền RoTLD, quản lý máy chủ DNS có thẩm quyền cho toàn bộ miền.ro.

Viện Nghiên cứu và Phát triển Tin học Quốc gia Rumani, tổ chức điều hành đăng ký RoTLD, không trả lời yêu cầu

Một sự thỏa hiệp của hệ thống Web RoTLD được sử dụng bởi các chủ sở hữu tên miền.ro để quản lý tên miền của họ, hoặc các máy chủ DNS của registry là một trong những khả năng, Raiu nói.

Tài khoản RoTLD của Kaspersky Lab được sử dụng để quản lý kas Raiky.ro-một trong những tên miền bị ảnh hưởng-không hiển thị bất kỳ cảnh báo hoặc dấu hiệu rõ ràng khác của sự thỏa hiệp, Raiu nói. Tuy nhiên, điều này không loại trừ khả năng tin tặc truy cập vào tài khoản của một quản trị viên RoTLD trực tiếp, ông nói.

Kaspersky đang trong quá trình nộp đơn khiếu nại chính thức với RoTLD, Raiu cho biết. tung ra một cuộc tấn công đầu độc DNS, kết quả là các bản ghi DNS giả mạo được chèn vào các máy chủ phân giải DNS công cộng của Google-8.8.8.8 và các nhà nghiên cứu 8.8.4.4-Kaspersky cho biết hôm thứ Tư trong một bài đăng trên blog. bởi cuộc tấn công. Trên thực tế, các máy chủ phân giải DNS của nhiều ISP Rumani đã không báo cáo các hồ sơ bị nhiễm độc, Raiu nói.

Tuy nhiên, điều này có thể là do sự khác biệt về thời gian lưu trong bộ nhớ đệm. Các máy chủ DNS công cộng của Google có thể được cấu hình để làm mới các bản ghi DNS bằng cách thẩm vấn các máy chủ DNS có thẩm quyền, giống như các máy chủ được điều hành bởi RoTLD, nhanh hơn các giải pháp DNS của một số ISP.

“Các dịch vụ của Google ở ​​Romania không bị tấn công”. qua email. “Trong một thời gian ngắn, một số người dùng truy cập www.google.ro và một vài địa chỉ web khác đã được chuyển hướng đến một trang web khác. Chúng tôi liên lạc với tổ chức chịu trách nhiệm quản lý tên miền ở Romania. ”

“ Chúng tôi biết rằng Yahoo không thể tiếp cận được với một số người dùng ở Romania ”, một phát ngôn viên của Yahoo cho biết qua email. "Vấn đề này được giải quyết và chúng tôi xin lỗi vì bất kỳ sự bất tiện nào mà điều này có thể đã gây ra."

"Vào ngày 27 tháng 11, Microsoft.ro bị ảnh hưởng bởi sự cố DNS của bên thứ ba", Microsoft cho biết trong một tuyên bố gửi qua email. “Trang web đã được khôi phục hoàn toàn và chúng tôi có thể xác nhận rằng không có thông tin khách hàng nào bị xâm phạm. Chúng tôi đang hợp tác với các đối tác bên thứ ba để đánh giá thực tiễn bảo mật của họ. ”

Không rõ liệu tên miền paypal.ro có thực sự thuộc sở hữu của PayPal hay không. PayPal đã không trả lời ngay lập tức một yêu cầu bình luận về việc làm rõ ý kiến.

Cuộc tấn công ở Romania theo sau một cuộc tấn công tương tự xảy ra tuần trước ở Pakistan và ảnh hưởng đến các miền.pk của Google, Microsoft, Yahoo, PayPal và các công ty khác. Vi phạm an ninh được truy ngược lại PKNIC, đăng ký tên miền.pk.

“PKNIC đã nhận thức được lỗ hổng trong một trong các hệ thống của mình khiến tổng số bốn tài khoản người dùng bị vi phạm vào tối thứ Sáu ngày 23 tháng 11, ảnh hưởng đến chín DNS hồ sơ, trong tổng số khoảng năm mươi nghìn, ”đăng ký cho biết trong một tuyên bố được công bố trên trang web của mình trong tuần này. “Điều đó dẫn đến một số địa chỉ trang web được chuyển hướng đến một trang tin nhắn, với một thông điệp bị xóa trong ngôn ngữ Thổ Nhĩ Kỳ trong một vài giờ. Hầu như tất cả các trang web này đều là gương của các trang web toàn cầu như google.pk, microsoft.pk hoặc người giữ chỗ cho các thương hiệu quốc tế không thực sự kinh doanh ở Pakistan như paypal.pk, v.v. ”

Botezatu tin rằng rằng các tin tặc tấn công DNS của các tên miền Rumani hôm thứ tư có thể là những người chịu trách nhiệm về vụ tấn công ở Pakistan tuần trước.

Các cuộc tấn công vào các tổ chức đăng ký tên miền cấp cao nhất (ccTLD) của quốc gia dường như đang gia tăng. Vào tháng 10, những kẻ tấn công đã quản lý để thay đổi bản ghi NS của một số tên miền Ireland bao gồm Google.ie và Yahoo.ie.

Vào ngày 9 tháng 11, Cơ quan đăng ký tên miền.IE (IEDR) đã đưa ra một tuyên bố nói rằng sự cố là kết quả tin tặc khai thác lỗ hổng trong trang web của cơ quan đăng ký.