周三,谷歌、雅虎(Yahoo)、微软(Microsoft)、卡巴斯基实验室(Kaspersky Lab)等公司的罗马尼亚域名被劫持,并被重定向到荷兰一个被黑客攻击的服务器上。
劫持发生在DNS(域名系统)级别,攻击者修改了谷歌的DNS记录。罗依,雅虎。罗依,微软。罗依,hotmail。罗依,窗户。罗依,卡巴斯基。罗依和贝宝。根据安全供应商卡巴斯基实验室全球研究和分析团队的主管Costin Raiu的说法。
这导致网站显示攻击者提供的页面,而不是正常内容,这种攻击通常被称为网站损毁。在这个例子中显示的流氓页面将攻击归因于一个阿尔及利亚黑客使用别名MCA-CRB。黑客还发布了截屏在Zone-H.org网站上,有一个网站损毁档案。
黑客将域名指向了荷兰的服务器server1. joom腹腔镜。nl——罗马尼亚杀毒软件供应商Bitdefender的高级电子威胁分析师Bogdan Botezatu表示,该网站似乎也遭到了黑客攻击。
Botezatu认为,DNS记录被修改为在RoTLD域名注册安全漏洞,它管理的权威DNS服务器为整个.RO域空间的结果。
罗马尼亚国立信息学研究与发展研究所(rold registry的管理机构)没有回应记者的置评请求。
使用.RO域名拥有者管理其域RoTLD Web系统,或注册表中的DNS服务器的妥协是一种可能性,RAIU说。
卡巴斯基实验室的RoTLD帐户,用来管理卡巴斯基。Raiu说,受影响的域名之一ro没有显示任何警报或其他明显的泄露迹象。不过,他说,这并不排除黑客直接进入RoTLD管理员账户的可能性。
卡巴斯基正在向RoTLD提交正式投诉,拉尤说。
另一种情况涉及到攻击者发动所谓的DNS中毒攻击,那导致了被插在谷歌的公共DNS解析服务器流氓DNS记录 - 8.8.8.8 8.8.4.4和 - 卡巴斯基研究人员表示,在周三博客文章。
并非所有用户的罗马尼亚被攻击的影响。事实上,许多互联网服务供应商罗马尼亚的DNS解析服务器没有报告中毒的记录,RAIU说。
但是,这可能是由于缓存时间的差异造成的。谷歌的公共DNS服务器可能被配置为通过询问权威DNS服务器来刷新DNS记录,比如那些由RoTLD操作的服务器,比一些isp的DNS解析器更快。
“罗马尼亚的谷歌服务没有被黑客入侵,”谷歌的一名代表周三通过电子邮件表示。在很短的一段时间内,一些访问www.google.ro和其他几个网址的用户被重定向到另一个网站。我们正在与罗马尼亚负责管理域名的机构联系。”
“我们都知道,Yahoo.ro无法访问到在罗马尼亚一些用户,”雅虎发言人在电子邮件中说。“这个问题得到解决,我们对由此可能引起的任何不便表示歉意。”
11月27日,微软。微软在一份电子邮件声明中表示。“网站已经完全恢复,我们可以确认没有任何客户信息被泄露。我们正在与第三方合作伙伴合作,评估他们的安全做法。”
目前尚不清楚贝宝是否。ro域名实际上为PayPal所有。贝宝没有立即回应要求澄清的置评请求。
上周在巴基斯坦也发生了类似的攻击,影响了谷歌、微软、雅虎、贝宝等公司的.pk域名。安全漏洞被追溯到PKNIC, pk域名注册表。
“PKNIC意识到其系统中的一个漏洞,这导致了在11月23日星期五晚上总共4个用户帐户被攻破,影响了9个DNS记录,总共约5万个,”该注册中心在报告中说一份声明本周公布在其网站上。这导致几个网站地址被重定向到一个信息页面,其中一条污损了几个小时的土耳其语信息。几乎所有这些网站都是谷歌等全球网站的镜像。pk,微软。pk,或国际品牌的位置持有人,他们实际上没有在巴基斯坦做生意,如贝宝。pk等。”
Botezatu认为,谁劫持罗马尼亚域周三的DNS黑客可能负责上周在巴基斯坦的攻击相同。
对国家代码顶级域名(ccTLD)注册机构的攻击,似乎越来越多。十月,攻击者设法改变的几个爱尔兰域名包括Google.ie和Yahoo.ie的NS记录。
11月9日,。ie域名注册(IEDR)发布一份声明他说,这次事件是黑客利用注册网站上的一个漏洞造成的。