Attackers kapar på .ro-domänerna i Google, Microsoft, Yahoo, andra

De rumänska domännamnen på Google, Yahoo, Microsoft, Kaspersky Lab och andra företag kapades på onsdag och omdirigerades till en hacked server i Nederländerna.

Kappingen inträffade på DNS-nivå (Domain Name System), med angripare som ändrade DNS-posterna för google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro och paypal.ro, enligt Costin Raiu, chef för det globala forsknings- och analysteamet hos säkerhetsleverantören Kaspersky Lab.

Detta ledde till att webbplatserna visade en sida angripad i stället för deras vanliga innehåll - ett allmänt känt angrepp som en webbplats defacement. Den oseriösa sidan som visas i detta fall tillskrivs attacken till en algerisk hackare med hjälp av alias MCA-CRB. Hackern har också lagt fram skärmdumpar av de skadade webbplatserna på webbplatsen Zone-H.org, ett webdefekteringsarkiv.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Hackern pekade domänerna på en servern i Nederländerna-server1.joomlapartner.nl-som också verkar hackats, säger Bogdan Botezatu, en äldre e-hotanalytiker vid den rumänska antivirusleverantören Bitdefender.

Botezatu anser att DNS-posterna modifierades som ett resultat av ett säkerhetsbrott i RoTLD-domänregistret, som hanterar de auktoritativa DNS-servrarna för hela.ro-domänutrymmet.

Det rumänska nationella institutet för informatikforskning och -utveckling, organisationen som driver RoTLD-registret, svarade inte på en begäran för kommentar.

En kompromiss av det RoTLD-webbsystem som används av.ro-domännamnseare för att administrera sina domäner eller registerets DNS-servrar är en av de möjligheter som Raiu sa.

Kaspersky Labs RoTLD-konto som användes för att administrera kas persky.ro-ett av de drabbade domännamnen - visade inga varningar eller andra uppenbara tecken på kompromiss, sa Raiu. Men detta utesluter inte möjligheten för hackare att få tillgång till en RoTLD-administratörs konto direkt, sade han.

Kaspersky håller på att lämna in ett officiellt klagomål med RoTLD, säger Raiu.

Ett annat scenario involverar angripare lanserar en så kallad DNS-förgiftningsattack, vilket resulterade i att skumma DNS-poster infördes i Googles offentliga DNS-resolverservrar-8.8.8.8 och 8.8.4.4-Kaspersky-forskare sa onsdag i ett blogginlägg.

Inte alla rumänska användare drabbades av attacken. Faktum är att DNS-resolverservrarna från många rumänska Internet-leverantörer inte rapporterade de förgiftade dokumenten, sade Raiu.

Detta kan dock bero på skillnader i cachetider. Googles offentliga DNS-servrar kan konfigureras att uppdatera DNS-poster genom att utfråga auktoritativa DNS-servrar, som de som drivs av RoTLD, snabbare än DNS-resolverna från vissa Internetleverantörer.

"Google-tjänster i Rumänien har inte hackats", sa en representant från Google onsdag via e-post. "Under en kort tid vidarebefordrades vissa användare på www.google.ro och några andra webbadresser till en annan webbplats. Vi är i kontakt med organisationen som ansvarar för att hantera domännamn i Rumänien. "

" Vi är medvetna om att Yahoo.ro var otillgänglig för vissa användare i Rumänien, "sa en talesman från Yahoo via e-post. "Problemet är löst och vi ber om ursäkt för eventuella olägenheter som detta kan ha orsakat."

"Den 27 november påverkades Microsoft.ro av ett tredjeparts DNS-problem," sa Microsoft i ett mailat uttalande. "Sidan har sedan fullständigt restaurerats och vi kan bekräfta att ingen kundinformation har äventyras. Vi arbetar med våra tredje part för att utvärdera sina säkerhetsrutiner. "

Det är inte klart om Paypal.ro-domännamnet faktiskt ägs av PayPal. PayPal svarade inte omedelbart på en begäran om kommentar som sökte förtydligande.

Attacken i Rumänien följer en liknande som inträffade förra veckan i Pakistan och drabbades av.pk-domänerna i Google, Microsoft, Yahoo, PayPal och andra företag. Säkerhetsbrottet spåras tillbaka till PKNIC,.pk-domänregistret.

"PKNIC blev medveten om en sårbarhet i ett av dess system, vilket medförde att totalt fyra användarkonton bryts mot fredagen den 23 november, vilket påverkar nio DNS rekord, av totalt cirka femtio tusen ", konstaterade registret i ett uttalande som publicerades på sin webbplats denna vecka. "Det ledde till att flera webbadresser omdirigerades till en meddelandesida, med ett defaced-meddelande på turkiska språket i några timmar. Nästan alla dessa webbplatser var speglar av globala webbplatser som google.pk, microsoft.pk eller platsinnehavare för internationella varumärken som faktiskt inte gör affärer i Pakistan som paypal.pk, etc. "

Botezatu tror att de hackare som kapade DNS på de rumänska domänerna onsdagen kan vara samma som ansvarar för attacken i Pakistan förra veckan.

Angreppen mot registret för domännamnsregistret för domännamn (ccTLD) verkar öka. I oktober lyckades angriparna ändra NS-poster av flera irländska domännamn, inklusive Google.ie och Yahoo.ie.

Den 9 november utfärdade.IE Domain Register (IEDR) ett uttalande som säger att incidenten var resultatet av hackare som utnyttjar en sårbarhet på registret hemsida.