Angreifer entführen die .ro-Domains von Google, Microsoft, Yahoo, andere

Die rumänischen Domainnamen von Google, Yahoo, Microsoft, Kaspersky Lab und anderen Unternehmen wurden am Mittwoch entführt und wurden zu einem gehackter Server in den Niederlanden.

Das Hijacking ereignete sich auf DNS-Ebene (Domain Name System), wobei Angreifer die DNS-Einträge für google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky änderten.ro und paypal.ro, so Costin Raiu, Direktor des globalen Forschungs- und Analyseteams des Sicherheitsanbieters Kaspersky Lab.

Dies führte dazu, dass die Websites eine von Angreifern gelieferte Seite anstelle ihres regulären Inhalts anzeigen - ein bekannter Angriff als eine Website Defacement. Die Schurkenseite, die in diesem Fall angezeigt wurde, schrieb den Angriff einem algerischen Hacker unter Verwendung des Alias ​​MCA-CRB zu. Der Hacker hat auch Screenshots der verunstalteten Webseiten auf der Website von Zone-H.org, einem Web-Defacement-Archiv, gepostet.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Der Hacker zeigte auf die Domains Server in den Niederlanden-server1.joomlapartner.nl-das scheint auch gehackt worden zu sein, sagte Bogdan Botezatu, ein Senior-E-Threat-Analyst bei dem rumänischen Antivirus-Hersteller Bitdefender.

Botezatu glaubt, dass die DNS-Datensätze wurden infolge verändert eine Sicherheitsverletzung in der RoTLD-Domain-Registry, die die autoritativen DNS-Server für den gesamten.ro-Domain-Space verwaltet.

Das rumänische Institut für Informatikforschung und -entwicklung, die Organisation, die das RoTLD-Register betreibt, reagierte nicht auf eine Anfrage für einen Kommentar.

Eine Kompromittierung des RoTLD-Web-Systems, das von.ro Domain-Namen-Eigentümern zur Verwaltung ihrer Domains oder der DNS-Server der Registry verwendet wird, ist eine der Möglichkeiten, sagte Raiu.

Kaspersky Labs RoTLD-Account verwalte kas "persky.ro" - einer der betroffenen Domain-Namen - zeigte keine Warnungen oder andere offensichtliche Anzeichen von Kompromittierung, sagte Raiu. Dies schließt jedoch nicht aus, dass Hacker direkt Zugang zum Konto eines RoTLD-Administrators erhalten könnten.

Kaspersky ist gerade dabei, eine offizielle Beschwerde bei RoTLD einzureichen, sagte Raiu.

Ein anderes Szenario betrifft Angreifer einen so genannten DNS-Poisoning-Angriff, der dazu führte, dass Rogue-DNS-Einträge in die öffentlichen DNS-Resolver-Server von Google eingefügt wurden - 8.8.8.8 und 8.8.4.4 - Forscher von Kaspersky am Mittwoch in einem Blogbeitrag.

Nicht alle rumänischen Benutzer waren betroffen durch den Angriff. Tatsächlich haben die DNS-Resolver-Server vieler rumänischer ISPs die vergifteten Datensätze nicht gemeldet, sagte Raiu.

Dies könnte jedoch durch unterschiedliche Caching-Zeiten verursacht werden. Googles öffentliche DNS-Server sind möglicherweise so konfiguriert, dass sie DNS-Einträge aktualisieren, indem autorisierende DNS-Server wie RoTLD schneller abgefragt werden als DNS-Resolver einiger ISPs.

"Google-Dienste in Rumänien wurden nicht gehackt", sagte ein Google-Vertreter am Mittwoch per Email. "Einige Nutzer, die www.google.ro und einige andere Webadressen besuchten, wurden kurzzeitig auf eine andere Website umgeleitet. Wir stehen mit der für die Verwaltung von Domainnamen zuständigen Organisation in Rumänien in Verbindung. "

" Wir sind uns bewusst, dass Yahoo.ro für einige Nutzer in Rumänien nicht zugänglich war ", sagte eine Yahoo-Sprecherin per E-Mail. "Dieses Problem wurde behoben und wir entschuldigen uns für etwaige Unannehmlichkeiten."

"Microsoft.ro war am 27. November von einem DNS-Problem eines Drittanbieters betroffen", sagte Microsoft in einer E-Mail-Nachricht. "Die Website wurde inzwischen vollständig wiederhergestellt und wir können bestätigen, dass keine Kundeninformationen kompromittiert wurden. Wir arbeiten mit unseren Drittanbietern zusammen, um ihre Sicherheitspraktiken zu bewerten. "

Es ist nicht klar, ob der Name der paypal.ro-Domain tatsächlich im Besitz von PayPal ist. PayPal hat nicht sofort auf eine Anfrage zur Klärung von Kommentaren geantwortet.

Der Angriff in Rumänien folgt einem ähnlichen, der sich letzte Woche in Pakistan ereignet hat und die.pk-Domains von Google, Microsoft, Yahoo, PayPal und anderen Unternehmen betrifft. Die Sicherheitsverletzung wurde auf PKNIC, die.pk-Domänenregistrierung, zurückgeführt.

"PKNIC wurde auf eine Sicherheitslücke in einem seiner Systeme aufmerksam, die am Freitag, den 23. November, insgesamt vier Benutzerkonten durchbrochen hat, was sich auf neun DNS auswirkte Aufzeichnungen, von insgesamt rund fünfzigtausend ", sagte das Register in einer Erklärung auf seiner Website in dieser Woche veröffentlicht. "Das führte dazu, dass mehrere Website-Adressen auf eine Nachrichtenseite mit einer unkenntlich gemachten Nachricht in türkischer Sprache für ein paar Stunden umgeleitet wurden. Fast alle diese Websites waren Spiegel von globalen Websites wie google.pk, microsoft.pk oder Platzhaltern für internationale Markennamen, die in Pakistan keine Geschäfte wie paypal.pk usw. betreiben. "

Botezatu glaubt dass die Hacker, die am Mittwoch den DNS der rumänischen Domains entführt haben, für die Attacke in Pakistan in der letzten Woche verantwortlich sein könnten.

Die Angriffe auf Ländercode Top-Level Domain (ccTLD) -Registrierungsorganisationen scheinen zuzunehmen. Im Oktober gelang es Angreifern, die NS-Datensätze mehrerer irischer Domainnamen wie Google.ie und Yahoo.ie zu ändern.

Am 9. November gab das.IE Domain Registry (IEDR) eine Erklärung heraus, in der es hieß, der Vorfall sei das Ergebnis von Hackern, die eine Sicherheitslücke auf der Website der Registry ausnutzen.