Penyerang membajak domain .ro dari Google, Microsoft, Yahoo, yang lainnya

Nama domain Rumania Google, Yahoo, Microsoft, Kaspersky Lab, dan perusahaan lain dibajak pada hari Rabu dan dialihkan ke diretas server di Belanda.

Pembajakan terjadi di tingkat DNS (Domain Name System), dengan penyerang memodifikasi catatan DNS untuk google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro dan paypal.ro, menurut Costin Raiu, direktur tim riset dan analisis global di vendor keamanan Kaspersky Lab.

Hal ini menyebabkan situs web menampilkan laman yang disediakan penyerang, bukan konten regulernya - serangan yang umumnya diketahui sebagai perusakan situs web. Halaman nakal yang ditampilkan dalam kasus ini menghubungkan serangan ke peretas Aljazair menggunakan alias MCA-CRB. Peretas juga memposting cuplikan layar dari situs web yang dirusak di situs web Zone-H.org, arsip perusak Web.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Peretas mengarahkan domain ke server di Belanda-server1.joomlapartner.nl-yang juga tampaknya telah diretas, kata Bogdan Botezatu, analis e-ancaman senior di vendor antivirus Rumania, Bitdefender.

Botezatu percaya bahwa catatan DNS telah dimodifikasi sebagai hasil dari pelanggaran keamanan di registri domain RoTLD, yang mengelola server DNS otoritatif untuk seluruh ruang domain.ro.

Institut Riset dan Pengembangan Informatika Nasional Rumania, organisasi yang menjalankan registri RoTLD, tidak menanggapi permintaan untuk komentar.

Kompromi sistem Web RoTLD yang digunakan oleh pemilik nama domain.ro untuk mengelola domain mereka, atau server DNS registri adalah salah satu kemungkinan, kata Raiu.

Akun RoTLD Kaspersky Lab yang digunakan untuk mengelola kas persky.ro-salah satu nama domain yang terkena-tidak menampilkan peringatan atau tanda-tanda kompromi lainnya, kata Raiu. Namun, ini tidak mengecualikan kemungkinan peretas mendapatkan akses ke akun administrator RoTLD secara langsung, katanya.

Kaspersky sedang dalam proses mengajukan keluhan resmi dengan RoTLD, kata Raiu.

Skenario lain melibatkan penyerang meluncurkan serangan peracunan DNS yang disebut, yang mengakibatkan catatan DNS nakal disisipkan di server DNS resolver publik Google-8.8.8.8 dan 8.8.4.4-Kaspersky peneliti mengatakan Rabu di sebuah posting blog.

Tidak semua pengguna Rumania terpengaruh oleh serangan itu. Faktanya, server penyelesai DNS dari banyak ISP Rumania tidak melaporkan catatan beracun, kata Raiu.

Namun, ini mungkin disebabkan oleh perbedaan waktu caching. Server DNS publik Google mungkin dikonfigurasi untuk me-refresh data DNS dengan menginterogasi server DNS otoritatif, seperti yang dioperasikan oleh RoTLD, lebih cepat daripada DNS resolver dari beberapa ISP.

"Layanan Google di Rumania tidak diretas," kata perwakilan Google Rabu melalui email. “Untuk waktu yang singkat, beberapa pengguna yang mengunjungi www.google.ro dan beberapa alamat web lainnya dialihkan ke situs web yang berbeda. Kami berhubungan dengan organisasi yang bertanggung jawab untuk mengelola nama domain di Rumania. "

" Kami sadar bahwa Yahoo.ro tidak dapat diakses oleh beberapa pengguna di Rumania, "kata juru bicara Yahoo melalui email. "Masalah ini telah diselesaikan dan kami mohon maaf atas ketidaknyamanan yang mungkin ditimbulkan."

"Pada tanggal 27 November, Microsoft.ro terkena dampak masalah DNS pihak ketiga," kata Microsoft dalam pernyataan yang dikirim melalui email. “Situs ini telah dipulihkan sepenuhnya dan kami dapat mengonfirmasi bahwa tidak ada informasi pelanggan yang disusupi. Kami bekerja sama dengan mitra pihak ketiga kami untuk mengevaluasi praktik keamanan mereka. ”

Tidak jelas apakah nama domain paypal.ro sebenarnya dimiliki oleh PayPal. PayPal tidak segera menanggapi permintaan untuk meminta klarifikasi komentar.

Serangan di Rumania mengikuti yang serupa yang terjadi minggu lalu di Pakistan dan mempengaruhi domain.pk Google, Microsoft, Yahoo, PayPal, dan perusahaan lain. Pelanggaran keamanan ditelusuri kembali ke PKNIC, registri domain.pk.

“PKNIC menjadi sadar akan kerentanan di salah satu sistemnya yang menyebabkan total empat akun pengguna dilanggar pada Jumat malam 23 November, berdampak pada sembilan DNS catatan, dari total sekitar lima puluh ribu, "kata registri dalam sebuah pernyataan yang dipublikasikan di situsnya minggu ini. “Itu menyebabkan beberapa alamat situs web dialihkan ke halaman pesan, dengan pesan yang dirusak dalam bahasa Turki selama beberapa jam. Hampir semua situs web ini adalah cermin dari situs global seperti google.pk, microsoft.pk, atau pemegang tempat untuk nama merek internasional yang sebenarnya tidak melakukan bisnis di Pakistan seperti paypal.pk, dll. ”

Botezatu percaya bahwa peretas yang membajak DNS dari domain Rumania, Rabu mungkin adalah orang yang sama yang bertanggung jawab atas serangan di Pakistan minggu lalu.

Serangan terhadap domain daftar domain tingkat atas negara (ccTLD) tampaknya semakin meningkat. Pada bulan Oktober, penyerang berhasil mengubah catatan NS dari beberapa nama domain Irlandia termasuk Google.ie dan Yahoo.ie.

Pada 9 November, Registrasi Domain.IE (IEDR) mengeluarkan pernyataan yang mengatakan bahwa insiden itu adalah hasilnya peretas mengeksploitasi kerentanan di situs web registri.