Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

DNS-támadás érte a Google-t és a Microsoftot

Gálffy Csaba, 2012. november 29. 08:54
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Valószínűleg a romániai legfelsőbb szintű domén esett támadók áldozatául tegnap és órákon keresztül hibásan oldotta fel többek közt a google.ro, microsoft.ro és yahoo.ro címeket. A hibát délre elhárították, felhasználói adatok nem kerültek veszélybe. Egyelőre nem tudni, hogyan jutottak be.

hirdetés

Több neves tech-cég romániai domainjét sikerült támadóknak eltéríteni tegnap délelőtt. Az információk szerint algériai támadók doménjére vezetett a google.ro, a yahoo.ro, a microsoft.ro, paypal.ro, kaspersky.ro, windows.ro és hotmail.ro URL is. A hibát fokozatosan sikerült megoldani, a google.ro például pontosan délben tért vissza teljesen a Google birtokába.

A támadók kilétéről egyelőre keveset tudni, a deface szerint az MCA-CRB nevű algériai csoport hajtotta végre a támadást. A biztonsági szakértők szerint az egyszerű oldal nem tartalmazott támadó kódot, az eltérített felhasználók böngészője ellen a csoport nem indított támadást. Szerencsére a második lehetőség, az azonosítók és jelszavak lopásának lehetősége is kimaradt, pedig egy ilyen támadás kiváló egyszeri lehetőséget ad a phishing típusú adatlopásra. Stefan Tanase, a Kaspersky romániai szakértője gyorselemzésében azt találta, hogy a támadók egy holland IP-re,  95.128.3.172 (server1.joomlapartner.nl) terelték a látogatókat.

Az előzetes vizsgálatok szerint a támadók nem a cégek weboldalait vették támadás alá, a gyenge láncszem, igazi célpont a RoTLD, a romániai legfelső szintű tartomány (.ro) regisztere volt. Az ilyen támadás ellen a weboldalak üzemeltetői jórészt tehetetlenek, a felhasználót még azelőtt eltérítik, hogy az bármilyen kapcsolatba kerülne az adott oldallal. A támadás menetéről, a pontos módszerekről egyelőre csak találgatni lehet, a részleges eltérítés arra utal, hogy úgynevezett DNS-mérgezéses támadásnak estek az oldalak áldozatul. A Kaspersky rögtönzött mérése szerint például a google.ro eltérítési aránya 60-80 százalékos volt, az URL-t begépelőknek ekkora hányada landolt a támadók oldalán. Az eltérítés egyébként nem csak Románián belül működött, a támadás alatt az itthonról indított kérés is a támadok oldalán kötött ki, ami arra utal, hogy nem a romániai internetszolgáltatók névszervereit támadták meg.

A múlt hónapban hasonló támadás áldozata lett az ír legfelső szintű tartomány is, akkor a támadók a google.ie és a yahoo.ie doméneket térítették el a mostanihoz hasonló módon. Az utólagos elemzések szerint a TLD saját Joomla tartalomkezelő rendszerén keresztül jutottak be a támadók a belső rendszerekhez és tudtak hozzáférni a DNS-táblákhoz.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!