يهاجم المهاجمون نطاقات .Ro لـ Google و Microsoft و Yahoo وغيرها

تم خطف أسماء النطاقات الرومانية من Google و Yahoo و Microsoft و Kaspersky Lab وشركات أخرى يوم الأربعاء وتمت إعادة توجيهها إلى اخترق الخادم في هولندا.

وقع الاختراق على مستوى نظام أسماء النطاقات (DNS) ، حيث قام المهاجمون بتعديل سجلات DNS لـ google.ro و yahoo.ro و microsoft.ro و hotmail.ro و windows.ro و kaspersky.ro و paypal.ro ، وفقًا لكوستين رايو ، مدير فريق البحث والتحليل العالمي في شركة الأمان Kaspersky Lab.

أدى ذلك إلى عرض مواقع الويب صفحة مزودة بالمهاجم بدلاً من محتواها المعتاد - وهو هجوم معروف كما تشويه على الانترنت. وقد أرجعت الصفحة المارقة المعروضة في هذه الحالة الهجوم إلى قرصان جزائري يستخدم الاسم المستعار MCA-CRB. قام الهاكر أيضًا بنشر لقطات شاشة لمواقع الويب المشوهة على موقع Zone-H.org ، وهو أرشيف تشويه للويب.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

أشار المتسلل إلى النطاقات إلى وقال بوجدان بوتيزاتو ، وهو محلل كبير للتهديدات الإلكترونية في شركة مكافحة الفيروسات رومانية Bitdefender. > يعتقد أن Batchzatu تم تعديل سجلات DNS نتيجة لخطأ في خادم server.joomlapartner.nl في هولندا. اختراق أمان في سجل نطاق RoTLD ، الذي يدير خوادم DNS الموثوقة لمساحة نطاق.ro بالكامل.

لم يستجب المعهد الوطني الروماني للأبحاث والمعلوماتية ، وهو المنظمة التي تدير سجل RoTLD ، لطلب للحصول على تعليق.

حل وسط من نظام الويب RoTLD المستخدم من قبل أصحاب أسماء نطاق.ro لإدارة نطاقاتهم ، أو خوادم DNS الخاصة بالسجل هي واحدة من الاحتمالات ، قال Raiu.

حساب RoTLD الخاص بـ Kaspersky Lab والذي تم استخدامه إدارة kas وقال رايو إن "بيركي" واحدة من أسماء النطاقات المتأثرة لا تعرض أي تنبيهات أو أي علامات أخرى واضحة على الحل الوسط. ومع ذلك ، هذا لا يستبعد إمكانية حصول المتسللين على حق الوصول إلى حساب مسؤول RoTLD مباشرة.

كاسبيرسكي في عملية تقديم شكوى رسمية مع RoTLD

سيناريو آخر يشمل المهاجمين إطلاق ما يسمى هجوم التسمم DNS ، التي أسفرت عن سجلات DNS المارقة يتم إدخالها في جوجل محلل DNS العام خوادم -8.8.8.8 و 8.8.4.4-كاسبرسكي الباحثين الأربعاء في بلوق وظيفة.

لم يتأثر جميع المستخدمين الرومانيين من خلال الهجوم. في الواقع ، فإن ملقمات محلل DNS للعديد من مقدمي خدمات الإنترنت الرومانيين لم يبلغوا عن السجلات المسمومة ، على حد قول رايو.

ومع ذلك ، قد يحدث هذا بسبب الاختلافات في أوقات التخزين المؤقت. قد يتم تكوين خوادم DNS العامة لـ Google لتحديث سجلات DNS من خلال استجواب خوادم DNS الموثوقة ، مثل تلك التي يتم تشغيلها بواسطة RoTLD ، أسرع من محللي DNS لبعض مزودي خدمة الإنترنت.

"لم يتم اختراق خدمات Google في رومانيا" ، هذا ما قاله أحد ممثلي Google يوم الأربعاء. عبر البريد الالكتروني. "لفترة قصيرة ، تمت إعادة توجيه بعض المستخدمين الذين يزورون www.google.ro وبعض عناوين الويب الأخرى إلى موقع ويب مختلف. نحن على اتصال مع المنظمة المسؤولة عن إدارة أسماء النطاقات في رومانيا. "

" نحن على علم بأن Yahoo.ro كان يتعذر الوصول إليه لبعض المستخدمين في رومانيا "، قالت متحدثة باسم ياهو عبر البريد الإلكتروني. "تم حل هذه المشكلة ونعتذر عن أي إزعاج قد سببه لك هذا الأمر."

"في 27 نوفمبر ، تأثرت Microsoft.ro بمشكلة DNS لطرف ثالث" ، كما قالت مايكروسوفت في بيان مرسل عبر البريد الإلكتروني. "تمت استعادة الموقع بالكامل منذ ذلك الحين ، ويمكننا تأكيد أنه لم يتم اختراق معلومات العملاء. نحن نعمل مع شركائنا من الأطراف الثالثة لتقييم ممارساتهم الأمنية. "

ليس من الواضح ما إذا كان اسم النطاق paypal.ro مملوكًا فعلاً بواسطة PayPal. لم تستجب PayPal على الفور لطلب التعليق الذي يسعى للحصول على توضيح.

يأتي الهجوم في رومانيا على نفس الهجوم الذي وقع الأسبوع الماضي في باكستان وأثر على نطاقات.pk لجوجل ومايكروسوفت وياهو وباي بال وشركات أخرى. تم تتبع الاختراق الأمني ​​إلى PKNIC ، سجل نطاق.pk.

"أصبح PKNIC على وعي بوجود ثغرة أمنية في أحد أنظمته التي تسببت في اختراق ما مجموعه أربعة حسابات للمستخدمين مساء الجمعة 23 نوفمبر ، مما أثر على تسعة DNS سجلات ، من أصل ما مجموعه حوالي خمسين ألف ، "السجل قال في بيان نشر على موقعه على الانترنت هذا الاسبوع. "أدى ذلك إلى إعادة توجيه العديد من عناوين مواقع الويب إلى صفحة الرسائل ، مع وجود رسالة مشوهة باللغة التركية لبضع ساعات. كانت جميع هذه المواقع تقريبًا مرايا للمواقع العالمية مثل google.pk أو microsoft.pk أو أصحاب الأماكن لأسماء العلامات التجارية الدولية الذين لا يزاولون بالفعل أعمالًا تجارية في باكستان مثل paypal.pk ، إلخ. ”

يعتقد Botezatu أن المتسللين الذين خطفوا DNS في المجالات الرومانية يوم الأربعاء قد يكونوا هم نفس المسؤولين عن الهجوم الذي وقع في باكستان الأسبوع الماضي.

يبدو أن الهجمات ضد منظمات التسجيل ذات المستوى الأعلى لرموز البلدان (ccTLD) آخذة في التزايد. في أكتوبر ، تمكن المهاجمون من تغيير سجلات NS لأسماء نطاقات أيرلندية متعددة بما في ذلك Google.ie و Yahoo.ie

في 9 نوفمبر ، أصدر سجل نطاق.IE (IEDR) بيانا يقول فيه أن الحادث كان نتيجة من المتسللين استغلال ثغرة أمنية في موقع التسجيل.