Aanvallers kapen de .ro-domeinen van Google, Microsoft, Yahoo, anderen

De Roemeense domeinnamen van Google, Yahoo, Microsoft, Kaspersky Lab en andere bedrijven zijn woensdag gekaapt en zijn omgeleid naar een gehackte server in Nederland.

De kaping vond plaats op het DNS-niveau (Domain Name System), waarbij aanvallers de DNS-records aanpaste voor google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro en paypal.ro, volgens Costin Raiu, directeur van het wereldwijde onderzoeks- en analyseteam bij beveiligingsleverancier Kaspersky Lab.

Dit leidde ertoe dat de websites een door de aanvaller geleverde pagina weergeven in plaats van hun reguliere inhoud - een algemeen bekende aanval als een website defacement. De frauduleuze pagina die in dit geval wordt weergegeven, schreef de aanval toe aan een Algerijnse hacker die de alias MCA-CRB gebruikte. De hacker plaatste ook schermafbeeldingen van de beschadigde websites op de Zone-H.org-website, een webdefacement-archief.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

De hacker wees de domeinen naar een server in Nederland - server1.joomlapartner.nl - die ook lijkt te zijn gehackt, zei Bogdan Botezatu, een senior e-threat analyst bij de Roemeense antivirusleverancier Bitdefender.

Botezatu is van mening dat de DNS-records zijn gewijzigd als gevolg van een beveiligingsinbreuk bij het RoTLD-domeinregister, dat de gezaghebbende DNS-servers voor de volledige.ro-domeinruimte beheert.

Het Roemeense nationale instituut voor informaticaonderzoek en -ontwikkeling, de organisatie die het RoTLD-register beheert, heeft niet gereageerd op een verzoek voor commentaar.

Een compromis van het RoTLD-websysteem dat wordt gebruikt door eigenaren van een.ro-domeinnaam voor het beheren van hun domeinen, of de DNS-servers van het register is een van de mogelijkheden, zei Raiu.

Het RoTLD-account van Kaspersky Lab dat werd gebruikt voor kas beheren persky.ro - een van de betrokken domeinnamen - liet geen meldingen of andere duidelijke tekenen van een compromis zien, zei Raiu. Dit sluit echter niet uit dat hackers rechtstreeks toegang krijgen tot het account van een RoTLD-beheerder, zei hij.

Kaspersky is momenteel bezig met het indienen van een officiële klacht bij RoTLD, aldus Raiu.

Een ander scenario betreft aanvallers. lancering van een zogenaamde DNS-vergiftigingsaanval, die heeft geleid tot schurkenstaten DNS-records die zijn ingevoegd in de openbare DNS-resolverservers van Google-8.8.8.8 en 8.8.4.4 - Kaspersky-onderzoekers zeiden woensdag in een blogpost.

Niet alle Roemeense gebruikers waren getroffen door de aanval. De DNS-resolverservers van veel Roemeense internetproviders hebben de vergiftigde records niet gerapporteerd, zei Raiu.

Dit kan echter worden veroorzaakt door verschillen in caching-tijden. De openbare DNS-servers van Google kunnen worden geconfigureerd om DNS-records te vernieuwen door gezaghebbende DNS-servers te ondervragen, zoals die worden gebruikt door RoTLD, sneller dan de DNS-resolvers van sommige ISP's.

"Google-services in Roemenië zijn niet gehackt", zei een Google-vertegenwoordiger woensdag via e-mail. "Voor een korte periode werden sommige gebruikers die www.google.ro en een paar andere webadressen bezochten doorverwezen naar een andere website. We hebben contact met de organisatie die verantwoordelijk is voor het beheer van domeinnamen in Roemenië. "

" We zijn ons ervan bewust dat Yahoo.ro onbereikbaar was voor sommige gebruikers in Roemenië ", zei een woordvoerster van Yahoo via e-mail. "Dit probleem is opgelost en we verontschuldigen ons voor het eventuele ongemak."

"Op 27 november werd Microsoft.ro getroffen door een DNS-probleem met derden," zei Microsoft in een verklaring per e-mail. "De site is inmiddels volledig gerestaureerd en we kunnen bevestigen dat er geen klantinformatie is aangetast. We werken samen met onze externe partners om hun beveiligingsprocedures te evalueren. "

Het is niet duidelijk of de paypal.ro-domeinnaam daadwerkelijk eigendom is van PayPal. PayPal heeft niet onmiddellijk gereageerd op een verzoek om opheldering om opheldering te verkrijgen.

De aanval in Roemenië volgt op een soortgelijke die vorige week plaatsvond in Pakistan en beïnvloedde de.pk-domeinen van Google, Microsoft, Yahoo, PayPal en andere bedrijven. De beveiligingsinbreuk is terug te voeren op PKNIC, het.pk-domeinregister.

"PKNIC werd zich bewust van een kwetsbaarheid in een van zijn systemen, waardoor in totaal vier gebruikersaccounts werden geschonden op vrijdagavond 23 november, met gevolgen voor negen DNS records, op een totaal van ongeveer vijftigduizend, "zei het register in een verklaring die deze week op haar website is gepubliceerd. "Dat leidde ertoe dat verschillende websiteadressen werden omgeleid naar een berichtenpagina, met een onleesbaar bericht in de Turkse taal voor een paar uur. Bijna al deze websites waren spiegels van wereldwijde sites zoals google.pk, microsoft.pk of place-holders voor internationale merknamen die in feite geen zaken doen in Pakistan, zoals paypal.pk, enzovoort. "

Botezatu gelooft dat de hackers die woensdag de DNS van de Roemeense domeinen kaapten misschien dezelfde zijn die verantwoordelijk zijn voor de aanslag in Pakistan vorige week.

De aanvallen op landcode-hoofddomein (ccTLD) registerorganisaties lijken toe te nemen. In oktober slaagden aanvallers erin de NS-records van verschillende Ierse domeinnamen, waaronder Google.ie en Yahoo.ie, te wijzigen.

Op 9 november deed het.IE Domain Registry (IEDR) een verklaring waarin stond dat het incident het gevolg was van hackers die misbruik maken van een kwetsbaarheid op de website van het register.