Attackers merampas domain .ro Google, Microsoft, Yahoo, yang lain

Nama domain Google dari Google, Yahoo, Microsoft, Kaspersky Lab dan syarikat lain telah dirampas pada hari Rabu dan dialihkan ke

Perampasan tersebut berlaku di peringkat DNS (Sistem Nama Domain), dengan penyerang memodifikasi rekod DNS untuk google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro dan paypal.ro, menurut Costin Raiu, pengarah pasukan penyelidikan dan analisis global di penjual keselamatan Kaspersky Lab.

Ini membawa kepada laman web memaparkan halaman penyerang yang dibekalkan bukan kandungan biasa mereka - serangan yang diketahui umum sebagai penipuan laman web. Halaman penyangak yang dipaparkan dalam hal ini disebabkan serangan ke penggodam Aljazair menggunakan alias MCA-CRB. Penggodam juga menyiarkan tembakan skrin laman web yang rosak pada laman web Zone-H.org, arkib penipuan Web.

[Bacaan lanjut: Bagaimana untuk mengalih keluar perisian hasad dari PC Windows Anda]

Peretas menunjukkan domain ke pelayan di Belanda-server1.joomlapartner.nl-yang juga kelihatan telah digodam, kata Bogdan Botezatu, seorang penganalisis e-ancaman senior di vendor antivirus Romania Bitdefender.

Botezatu percaya rekod DNS diubahsuai sebagai hasil daripada pelanggaran keselamatan di registri domain RoTLD, yang menguruskan pelayan DNS yang berwibawa untuk ruang domain keseluruhan.

Institut Penyelidikan dan Pembangunan Institut Informatika Romania, organisasi yang menjalankan pendaftaran RoTLD, tidak menjawab permintaan untuk komen.

Satu kompromi sistem Web RoTLD yang digunakan oleh pemilik domain nama.ro untuk mentadbir domain mereka, atau pelayan DNS pendaftar adalah salah satu kemungkinan, kata Raiu.

Akaun RoTLD Kaspersky Lab yang digunakan untuk mentadbir kas persky.ro-salah satu nama domain yang terlibat-tidak memaparkan apa-apa makluman atau tanda-tanda kompromi yang jelas, kata Raiu.

Kaspersky sedang dalam proses mengajukan keluhan resmi dengan RoTLD, kata Raiu.

Senario lain melibatkan penyerang melancarkan serangan keracunan DNS yang dipanggil, yang menyebabkan rekod DNS jahat dimasukkan ke dalam pelayan penyemak DNS awam Google-8.8.8.8 dan 8.8.4.4-penyelidik Kaspersky berkata pada Rabu dalam catatan blog.

Tidak semua pengguna Romania terpengaruh oleh serangan itu. Malah, pelayan penyemak DNS dari banyak ISP Romania tidak melaporkan rekod yang diracun, kata Raiu.

Walau bagaimanapun, ini mungkin disebabkan oleh perbezaan masa caching. Pelayan DNS awam Google mungkin dikonfigurasikan untuk menyegarkan semula rekod DNS dengan menginterogasi pelayan DNS yang berwibawa, seperti yang dikendalikan oleh RoTLD, lebih cepat daripada resolver DNS sesetengah ISP.

"Perkhidmatan Google di Romania tidak digodam," kata wakil Google melalui e-mail. "Untuk tempoh yang singkat, sesetengah pengguna yang melawat www.google.ro dan beberapa alamat web lain dialihkan ke laman web yang lain. Kami berhubung dengan organisasi yang bertanggungjawab untuk menguruskan nama domain di Romania. "

" Kami menyedari bahawa Yahoo.ro tidak boleh diakses oleh sesetengah pengguna di Romania, "kata jurucakap Yahoo menerusi e-mel. "Isu ini telah diselesaikan dan kami memohon maaf atas sebarang kesulitan yang mungkin timbul."

"Pada 27 November, Microsoft.ro telah dipengaruhi oleh isu DNS pihak ketiga," kata Microsoft dalam satu kenyataan yang diemail. "Laman ini telah dipulihkan sepenuhnya dan kami dapat mengesahkan bahawa tidak ada maklumat pelanggan yang dikompromikan. Kami bekerjasama dengan rakan pihak ketiga kami untuk menilai amalan keselamatan mereka. "

Tidak jelas sama ada nama domain paypal.ro sebenarnya dimiliki oleh PayPal. PayPal tidak segera bertindak balas terhadap permintaan untuk memberi komen yang ingin dijelaskan.

Serangan di Romania mengikuti yang serupa yang berlaku minggu lalu di Pakistan dan mempengaruhi domain.pk Google, Microsoft, Yahoo, PayPal dan syarikat lain. Pelanggaran keselamatan dikesan kembali ke PKNIC, registri domain.pk.

"PKNIC menyadari kelemahan dalam salah satu sistemnya yang menyebabkan sejumlah empat akaun pengguna dilanggar pada petang Jumaat 23 November, yang memberi dampak kepada sembilan DNS rekod, daripada jumlah sekitar lima puluh ribu, "kata pendaftar itu dalam satu kenyataan yang diterbitkan di laman webnya minggu ini. "Ini membawa kepada beberapa alamat laman web yang akan diarahkan semula ke halaman mesej, dengan mesej yang cacat dalam bahasa Turki selama beberapa jam. Hampir semua laman web ini adalah cermin tapak global seperti google.pk, microsoft.pk, atau pemegang tempat untuk jenama antarabangsa yang tidak benar-benar menjalankan perniagaan di Pakistan seperti paypal.pk, dll. "

Botezatu percaya bahawa penggodam yang merampas DNS domain Romania pada hari Rabu mungkin menjadi sama dengan serangan serangan di Pakistan minggu lalu.

Serangan terhadap organisasi pendaftar domain peringkat kod negara (ccTLD) tampaknya semakin meningkat. Pada bulan Oktober, penyerang berjaya mengubah rekod NS beberapa nama domain Ireland termasuk Google.ie dan Yahoo.ie.

Pada 9 November, MyE Domain Registry (IEDR) mengeluarkan kenyataan mengatakan bahawa kejadian itu adalah hasilnya daripada penggodam yang mengeksploitasi kerentanan di laman web pendaftaran.