Gli hacker violano i domini .ro di Google, Microsoft, Yahoo, altri

I nomi di dominio rumeni di Google, Yahoo, Microsoft, Kaspersky Lab e altre società sono stati dirottati mercoledì e sono stati reindirizzati a server hackerato nei Paesi Bassi.

Il dirottamento è avvenuto a livello DNS (Domain Name System), con hacker che modificavano i record DNS per google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro e paypal.ro, secondo Costin Raiu, direttore del team di ricerca e analisi globale presso il fornitore di sicurezza Kaspersky Lab.

Ciò ha portato i siti Web a visualizzare una pagina fornita da un utente malintenzionato invece del loro contenuto regolare - un attacco comunemente noto come un defacement del sito web. La pagina canaglia visualizzata in questo caso attribuiva l'attacco a un hacker algerino usando l'alias MCA-CRB. L'hacker ha anche pubblicato le schermate dei siti Web danneggiati sul sito Web di Zone-H.org, un archivio di defacement Web.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

L'hacker ha indirizzato i domini a un server in Paesi Bassi-server1.joomlapartner.nl, che sembra essere stato hackerato, ha detto Bogdan Botezatu, analista senior di e-threat presso il fornitore di antivirus rumeno Bitdefender.

Botezatu ritiene che i record DNS siano stati modificati a seguito di una violazione della sicurezza nel registro dei domini RoTLD, che gestisce i server DNS autorevoli per l'intero spazio del dominio.ro.

L'Istituto nazionale rumeno di ricerca e sviluppo, l'organizzazione che esegue il registro RoTLD, non ha risposto a una richiesta

Un compromesso del sistema Web RoTLD utilizzato dai proprietari dei nomi di dominio.ro per amministrare i loro domini, o i server DNS del registro è una delle possibilità, ha detto Raiu.

L'account RoTLD di Kaspersky Lab utilizzato per amministrare kas persky.ro-uno dei nomi di dominio interessati-non ha mostrato alcun avviso o altri segni evidenti di compromesso, ha detto Raiu. Tuttavia, ciò non esclude la possibilità che gli hacker possano accedere direttamente all'account di un amministratore del RoTLD, ha detto.

Kaspersky è in procinto di presentare un reclamo ufficiale al RoTLD, ha detto Raiu.

Un altro scenario riguarda gli attaccanti lanciando un cosiddetto attacco di avvelenamento del DNS, che ha provocato l'inserimento di record DNS illegali nei server di risoluzione DNS pubblici di Google, 8.8.8.8 e 8.8.4.4 - i ricercatori di Kaspersky hanno detto mercoledì in un post sul blog.

Non tutti gli utenti rumeni sono stati colpiti dall'attacco. In effetti, i server resolver DNS di molti ISP rumeni non hanno segnalato i record avvelenati, ha detto Raiu.

Tuttavia, ciò potrebbe essere causato da differenze nei tempi di memorizzazione nella cache. I server DNS pubblici di Google potrebbero essere configurati per aggiornare i record DNS interrogando server DNS autorevoli, come quelli gestiti da RoTLD, più velocemente dei risolutori DNS di alcuni ISP.

"I servizi di Google in Romania non sono stati compromessi", ha detto un rappresentante di Google mercoledì Via Posta Elettronica. "Per un breve periodo, alcuni utenti che visitano www.google.ro e alcuni altri indirizzi web sono stati reindirizzati su un altro sito web. Siamo in contatto con l'organizzazione responsabile della gestione dei nomi di dominio in Romania. "

" Siamo consapevoli che Yahoo.ro era inaccessibile ad alcuni utenti in Romania ", ha detto una portavoce di Yahoo via email. "Questo problema è stato risolto e ci scusiamo per gli eventuali disagi causati".

"Il 27 novembre Microsoft.ro è stata interessata da un problema DNS di terze parti", ha affermato Microsoft in una dichiarazione inviata per posta elettronica. "Da allora il sito è stato completamente restaurato e possiamo confermare che nessuna informazione del cliente è stata compromessa. Stiamo collaborando con i nostri partner di terze parti per valutare le loro pratiche di sicurezza. "

Non è chiaro se il nome di dominio paypal.ro sia effettivamente di proprietà di PayPal. PayPal non ha risposto immediatamente a una richiesta di commento che chiedeva chiarimenti.

L'attacco in Romania segue uno simile avvenuto la scorsa settimana in Pakistan e ha interessato i domini.pk di Google, Microsoft, Yahoo, PayPal e altre società. La violazione della sicurezza è stata fatta risalire a PKNIC, il registro dei domini.pk.

"PKNIC è venuto a conoscenza di una vulnerabilità in uno dei suoi sistemi che ha causato la violazione di un totale di quattro account utente venerdì 23 novembre, con impatto su nove DNS record, su un totale di circa cinquantamila ", ha detto il registro in una dichiarazione pubblicata sul suo sito questa settimana. "Questo ha portato a diversi indirizzi di siti Web da reindirizzare a una pagina di messaggi, con un messaggio illeggibile in lingua turca per alcune ore. Quasi tutti questi siti web erano specchi di siti globali come google.pk, microsoft.pk, o segnaposto per nomi di marchi internazionali che in realtà non fanno affari in Pakistan come paypal.pk, ecc. "

Botezatu crede che gli hacker che hanno dirottato il DNS dei domini rumeni mercoledì potrebbero essere gli stessi responsabili dell'attacco in Pakistan la scorsa settimana.

Gli attacchi contro le organizzazioni di registro a dominio di primo livello (ccTLD) del codice paese sembrano aumentare. A ottobre, gli hacker sono riusciti a modificare i record NS di diversi nomi di dominio irlandesi tra cui Google.ie e Yahoo.ie.

Il 9 novembre, il registro dei domini.IE (IEDR) ha rilasciato una dichiarazione in cui affermava che l'incidente era il risultato di hacker che sfruttano una vulnerabilità nel sito Web del registro.