Η Microsoft, η Kaspersky Lab και άλλες εταιρίες χτυπήθηκαν την Τετάρτη και μεταφέρθηκαν σε διακομιστή που είχε καταστραφεί στις Κάτω Χώρες.

Η αεροπειρατεία εμφανίστηκε στο επίπεδο του DNS (Domain Name System), με τους επιτιθέμενους να τροποποιούν τις εγγραφές DNS για google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro και paypal.ro, σύμφωνα με τον Costin Raiu, διευθυντή της παγκόσμιας ομάδας έρευνας και ανάλυσης στον προμηθευτή ασφάλειας Kaspersky Lab

. Αυτό οδήγησε στους ιστότοπους που εμφανίζουν μια σελίδα που παρέχεται από εισβολέα αντί για το κανονικό τους περιεχόμενο - ως παραμόρφωση ιστότοπου. Η απερίσκεπτη σελίδα που εμφανίζεται στην περίπτωση αυτή απέδωσε την επίθεση σε έναν αλγερινό χάκερ χρησιμοποιώντας το ψευδώνυμο MCA-CRB. Ο hacker δημοσίευσε επίσης φωτογραφίες από τις ιστοσελίδες που έχουν υποστεί βλάβη στην ιστοσελίδα του Zone-H.org, ένα αρχείο παραβίασης ιστού.

[Η περαιτέρω ανάγνωση: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας Windows]

Ο χάκερ επισήμανε τους τομείς σε μια server στην Ολλανδία-server1.joomlapartner.nl - που επίσης φαίνεται να έχει καταστραφεί, δήλωσε ο Bogdan Botezatu, ένας ανώτερος αναλυτής ηλεκτρονικής απειλής στον ρουμανικό αντιπρόσωπο Bitdefender.

Η Botezatu πιστεύει ότι τα αρχεία DNS τροποποιήθηκαν ως αποτέλεσμα μια παραβίαση ασφαλείας στο μητρώο περιοχών RoTLD, το οποίο διαχειρίζεται τους έγκυρους διακομιστές DNS για ολόκληρο τον τομέα τομέα.ro

Το εθνικό ινστιτούτο έρευνας και ανάπτυξης της Πληροφορικής της Ρουμανίας, ο οργανισμός που τρέχει το μητρώο RoTLD, δεν απάντησε σε αίτημα

Ένας συμβιβασμός του συστήματος RoTLD Web που χρησιμοποιούν οι ιδιοκτήτες ονομάτων τομέα.ro για τη διαχείριση των τομέων τους ή οι διακομιστές DNS του μητρώου είναι μια από τις δυνατότητες, δήλωσε ο Raiu

Ο λογαριασμός RoTLD της Kaspersky Lab που χρησιμοποιήθηκε για διαχειριστείτε το kas persky.ro - ένα από τα επηρεαζόμενα ονόματα τομέα - δεν παρουσίασε καμία ειδοποίηση ή άλλα εμφανή συμπτώματα συμβιβασμού, δήλωσε ο Raiu. Ωστόσο, αυτό δεν αποκλείει την άμεση πρόσβαση των χάκερ στο λογαριασμό ενός διαχειριστή του RoTLD, δήλωσε.

Το Kaspersky βρίσκεται σε διαδικασία υποβολής επίσημης καταγγελίας στο RoTLD, δήλωσε ο Raiu. ξεκίνησε μια λεγόμενη επίθεση δηλητηρίασης DNS, η οποία είχε ως αποτέλεσμα την εισαγωγή πρωτογενούς αρχείου DNS στους δημόσιους διακομιστές ανάλυσης DNS της Google-8.8.8.8 και 8.8.4.4 -Οι ερευνητές της Kaspersky δήλωσαν την Τετάρτη σε μια θέση blog

Δεν επηρεάστηκαν όλοι οι Ρουμάνοι χρήστες από την επίθεση. Στην πραγματικότητα, οι διακομιστές ανάλυσης DNS πολλών Ρουμάνων ISPs δεν ανέφεραν τα δηλητηριασμένα αρχεία, δήλωσε ο Raiu

Ωστόσο, αυτό μπορεί να οφείλεται σε διαφορές στους χρόνους αποθήκευσης. Οι δημόσιοι διακομιστές DNS της Google ενδέχεται να έχουν ρυθμιστεί ώστε να ανανεώνουν τις εγγραφές DNS διερωτώντας αξιόπιστους διακομιστές DNS, όπως αυτοί που χρησιμοποιούν το RoTLD, πιο γρήγορα από τους διαχειριστές DNS ορισμένων παρόχων υπηρεσιών διαδικτύου.

"Οι υπηρεσίες Google στη Ρουμανία δεν είχαν πειραχτεί", δήλωσε εκπρόσωπος της Google την Τετάρτη μέσω ηλεκτρονικού ταχυδρομείου. "Για μια σύντομη περίοδο, κάποιοι χρήστες που επισκέπτονται τη διεύθυνση www.google.gr και μερικές άλλες διευθύνσεις ιστού μεταφέρθηκαν σε διαφορετικό ιστότοπο. Είμαστε σε επαφή με τον οργανισμό που είναι υπεύθυνος για τη διαχείριση ονομάτων τομέα στη Ρουμανία. "

" Γνωρίζουμε ότι το Yahoo.ro ήταν απρόσιτο για κάποιους χρήστες στη Ρουμανία ", δήλωσε εκπρόσωπος της Yahoo μέσω ηλεκτρονικού ταχυδρομείου. "Το ζήτημα αυτό επιλύθηκε και ζητούμε συγγνώμη για τυχόν ταλαιπωρία που μπορεί να προκάλεσε αυτό."

"Στις 27 Νοεμβρίου, το Microsoft.ro επηρεάστηκε από ένα πρόβλημα DNS τρίτων", δήλωσε η Microsoft σε μια ηλεκτρονική δήλωση. "Ο ιστότοπος έχει πλήρως αποκατασταθεί και μπορούμε να επιβεβαιώσουμε ότι δεν υπήρξε καμία παραβίαση πληροφοριών του πελάτη. Συνεργαζόμαστε με τους τρίτους εταίρους μας για να αξιολογήσουμε τις πρακτικές ασφαλείας τους. "

Δεν είναι ξεκάθαρο αν το όνομα τομέα paypal.ro ανήκει πραγματικά στο PayPal. Το PayPal δεν απάντησε αμέσως σε ένα αίτημα για σχόλιο που ζητούσε διευκρινίσεις.

Η επίθεση στη Ρουμανία ακολουθεί μια παρόμοια που σημειώθηκε την περασμένη εβδομάδα στο Πακιστάν και επηρέασε τους τομείς.pk των Google, της Microsoft, του Yahoo, του PayPal και άλλων εταιρειών. Η παραβίαση της ασφάλειας εντοπίστηκε πίσω στο PKNIC, το μητρώο του τομέα.pk

"Το PKNIC γνώριζε ένα τρωτό σημείο σε ένα από τα συστήματά του, το οποίο προκάλεσε την παραβίαση συνολικά τεσσάρων λογαριασμών χρηστών την Παρασκευή το βράδυ της 23ης Νοεμβρίου, από περίπου συνολικά πενήντα χιλιάδες », ανέφερε το μητρώο σε δήλωση που δημοσιεύθηκε στην ιστοσελίδα του αυτή την εβδομάδα. "Αυτό οδήγησε σε πολλές διευθύνσεις του ιστότοπου να μεταφερθούν σε μια σελίδα μηνυμάτων, με ένα διαστρεβλωμένο μήνυμα στην τουρκική γλώσσα για μερικές ώρες. Σχεδόν όλοι αυτοί οι ιστότοποι ήταν καθρέφτες παγκόσμιων ιστότοπων όπως το Google.pk, το microsoft.pk ή οι κάτοχοι διεθνών εμπορικών επωνυμιών που δεν κάνουν πραγματικά επιχειρήσεις στο Πακιστάν, όπως το paypal.pk κλπ. "

Το Botezatu πιστεύει ότι οι χάκερ που κατέλαβαν το DNS των ρουμανικών περιοχών την Τετάρτη ενδέχεται να είναι οι ίδιοι υπεύθυνοι για την επίθεση στο Πακιστάν την περασμένη εβδομάδα.

Οι επιθέσεις εναντίον οργανισμών μητρώου ανώτατου επιπέδου (ccTLD) κωδικών χώρας φαίνεται να αυξάνονται. Τον Οκτώβριο, οι επιτιθέμενοι κατάφεραν να αλλάξουν τα αρχεία NS πολλών ιρλανδικών ονομάτων, συμπεριλαμβανομένων των Google.ie και Yahoo.ie.

Στις 9 Νοεμβρίου, το IEDR (Registry Domain Registry) εξέδωσε δήλωση λέγοντας ότι το περιστατικό ήταν το αποτέλεσμα των χάκερ που εκμεταλλεύονται μια ευπάθεια στον ιστότοπο του μητρώου.