Os invasores seqüestram os domínios .ro do Google, Microsoft, Yahoo, outros

Os nomes de domínio romenos do Google, Yahoo, Microsoft, Kaspersky Lab e outras empresas foram sequestrados na quarta-feira e redirecionados para Servidor invadido na Holanda

O seqüestro ocorreu no nível do DNS (Sistema de Nome de Domínio), com invasores modificando os registros de DNS para google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro e paypal.ro, de acordo com Costin Raiu, diretor da equipe global de pesquisa e análise da Kaspersky Lab.

Isso levou os sites a exibirem uma página atacada, em vez de seu conteúdo regular - um ataque comumente conhecido como um desfiladeiro do site. A página falsa exibida neste caso atribuiu o ataque a um hacker argelino usando o alias MCA-CRB. O hacker também postou capturas de tela dos sites desfigurados no site Zone-H.org, um arquivo de desfiguração da Web.

[Leia mais: Como remover malware do seu PC com Windows]

O hacker apontou os domínios para um O servidor do Netherlands-server1.joomlapartner.nl - que também parece ter sido invadido, disse Bogdan Botezatu, analista sênior de ameaças eletrônicas do fornecedor de antivírus romeno Bitdefender. acredita que os registros do DNS foram modificados como resultado uma violação de segurança no registro de domínio RoTLD, que gerencia os servidores DNS autoritativos para todo o domínio de domínio.ro

O Instituto Nacional Romeno de Pesquisa e Desenvolvimento em Informática, a organização que executa o registro RoTLD, não respondeu a uma solicitação para comentar.

Um compromisso do sistema RoTLD Web usado por proprietários de nome de domínio.ro para administrar seus domínios, ou servidores DNS do registro é uma das possibilidades, disse Raiu.

Conta RoTLD da Kaspersky Lab que foi usada para administrar kas persky.ro - um dos nomes de domínio afetados - não exibiu nenhum alerta ou outros sinais óbvios de comprometimento, disse Raiu. No entanto, isso não exclui a possibilidade de hackers terem acesso direto à conta de um administrador de RoTLD, disse ele.

O Kaspersky está no processo de registrar uma queixa oficial no RoTLD, disse Raiu.

Outro cenário envolve invasores lançando um ataque de envenenamento de DNS, que resultou em registros de DNS desonestos sendo inseridos nos servidores de resolução de DNS públicos do Google - 8.8.8.8 e 8.8.4.4 - os pesquisadores da Kaspersky disseram na quarta-feira.

Nem todos os usuários romenos foram afetados pelo ataque. Na verdade, os servidores de resolução de DNS de muitos ISPs romenos não relataram os registros envenenados, disse Raiu.

No entanto, isso pode ser causado por diferenças nos tempos de armazenamento em cache. Os servidores DNS públicos do Google podem ser configurados para atualizar registros DNS interrogando servidores DNS autoritativos, como os operados por RoTLD, mais rápido que os resolvedores de DNS de alguns ISPs. "Os serviços do Google na Romênia não foram invadidos", disse um representante do Google. via email. “Por um curto período, alguns usuários que visitaram o www.google.ro e alguns outros endereços da Web foram redirecionados para um website diferente. Estamos em contato com a organização responsável pelo gerenciamento de nomes de domínio na Romênia. ”

“ Estamos cientes de que o Yahoo.ro era inacessível para alguns usuários na Romênia ”, disse um porta-voz do Yahoo por email. "Este problema foi resolvido e pedimos desculpas por qualquer inconveniente que isso possa ter causado".

"Em 27 de novembro, a Microsoft.ro foi afetada por um problema de DNS de terceiros", informou a Microsoft em comunicado enviado por email. “Desde então, o site foi totalmente restaurado e podemos confirmar que nenhuma informação do cliente foi comprometida. Estamos trabalhando com nossos parceiros terceirizados para avaliar suas práticas de segurança. ”

Não está claro se o nome de domínio paypal.ro é realmente de propriedade do PayPal. O PayPal não respondeu imediatamente a uma solicitação de comentários solicitando esclarecimentos.

O ataque na Romênia segue um semelhante que ocorreu na semana passada no Paquistão e afetou os domínios.pk do Google, Microsoft, Yahoo, PayPal e outras empresas. A violação de segurança foi rastreada até o PKNIC, o registro de domínio.pk.

“O PKNIC tomou conhecimento de uma vulnerabilidade em um de seus sistemas que causou a violação total de quatro contas de usuários na sexta-feira, 23 de novembro, afetando nove DNS registros, de um total de cerca de cinquenta mil ”, disse o registro em um comunicado publicado em seu site esta semana. “Isso levou vários endereços de sites a serem redirecionados para uma página de mensagens, com uma mensagem desfigurada em idioma turco por algumas horas. Quase todos esses sites eram espelhos de sites globais, como google.pk, microsoft.pk, ou espaços para nomes de marcas internacionais que não fazem negócios no Paquistão, como paypal.pk, etc. ”

Botezatu acredita que os hackers que sequestraram o DNS dos domínios romenos na quarta-feira podem ser os mesmos responsáveis ​​pelo ataque no Paquistão na semana passada.

Os ataques contra organizações de registro de domínios de primeiro nível com códigos de países (ccTLDs) parecem estar aumentando. Em outubro, os invasores conseguiram alterar os registros NS de vários nomes de domínio irlandeses, incluindo Google.ie e Yahoo.ie.

Em 9 de novembro, o Registro de Domínios.IE (IEDR) emitiu uma declaração dizendo que o incidente foi o resultado de hackers explorando uma vulnerabilidade no site do registro.