Rumunjska imena domena Google, Yahoo, Microsoft, Kaspersky Lab i druge tvrtke otet su u srijedu i preusmjerene su na hakiran poslužitelj u Nizozemskoj.

To je dovelo do web stranica koje prikazuju stranicu s naplatom napadača umjesto njihovog redovitog sadržaja - kao zamrzavanje web stranice. Otkrivena stranica prikazana u ovom slučaju pripisuje napad algerijskom hakeru koristeći pseudonim MCA-CRB. Haker je također objavio zaslone oštećenih web stranica na web stranici Zone-H.org, arhivu web deforacije.

[Dodatna čitanja: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Hakeri su domene usmjerili na poslužitelj u Nizozemskoj-server1.joomlapartner.nl - koji se također čini da je bio hakiran, rekao je Bogdan Botezatu, viši analitičar e-prijetnje rumunjskom protuvirusnom dobavljaču Bitdefendera.

Botezatu smatra da su DNS zapisi izmijenjeni kao rezultat sigurnosno kršenje u registru domene RoTLD koja upravlja autoritativnim DNS poslužiteljima za cijeli prostor domene.

Rumunjsko nacionalno institut za istraživanje i razvoj informatike, organizacija koja pokreće RoTLD registar, nije odgovorila na zahtjev za komentar.

Kaspersky Lab RoTLD račun koji je bio korišten za kompromis RoTLD web sustava koji koriste vlasnici domena.ro za administraciju domene ili registra DNS poslužitelja je jedna od mogućnosti. administrirati kas persky.ro-jedan od zahvaćenih imena domena - nije prikazivao nikakve upozorenja ili druge očite znakove kompromisa, rekao je Raiu. Međutim, to ne isključuje mogućnost da hakeri dobiju izravno pristup računu RoTLD administratora, rekao je.

Kaspersky je u postupku podnošenja službene pritužbe RoTLD-u, rekao je Raiu.

Drugi scenarij uključuje napadače pokrenuli su tzv. napad trovanja DNS-om, što je rezultiralo uklanjanjem DNS-zapisa DNS-a na Googleovim javnim poslužiteljima DNS resolver-8.8.8.8 i 8.8.4.4 -Kasperskyovi istraživači izjavili su u srijedu na postu na blogu.

Svi rumunjski korisnici nisu bili pogođeni napadom. Zapravo, poslužitelji DNS razlučivača mnogih rumunjskih ISP-ova nisu prijavili otrovne podatke, kazao je Raiu.

Međutim, to bi moglo biti uzrokovano razlikama u vremenu predmemoriranja. Googleovi javni DNS poslužitelji mogu biti konfigurirani za osvježavanje DNS zapisa ispitivanjem autoritativnih DNS poslužitelja, poput onih koje upravlja RoTLD, brže od DNS resolvera nekih ISP-ova. "Google usluge u Rumunjskoj nisu bile hakirane", izjavio je Google predstavnik u srijedu putem e-pošte. "Za kratko razdoblje, neki korisnici koji su posjetili www.google.ro i nekoliko drugih web adresa preusmjereni su na drugu web stranicu. Mi smo u kontaktu s organizacijom koja je odgovorna za upravljanje imenima domena u Rumunjskoj. "

" Svjesni smo da Yahoo.ro nije bio dostupan nekim korisnicima u Rumunjskoj ", rekla je glasnogovornica Yahoo putem e-pošte. "Ovaj je problem riješen i ispričavamo se zbog mogućih neugodnosti".

"27. studenog Microsoft.ro je utjecao DNS-ovo izdanje treće strane," izjavio je Microsoft u izjavi s e-poštom. "Web-lokacija je od tada potpuno obnovljena i možemo potvrditi da nema informacija o klijentima. Radimo s partnerima treće strane kako bismo ocijenili njihove sigurnosne postupke. "

Nije jasno je li naziv domene paypal.ro zapravo vlasništvo PayPal-a. PayPal nije odmah odgovorio na zahtjev za traženje pojašnjenja za komentare.

Napad u Rumunjskoj slijedi slično što se dogodilo prošli tjedan u Pakistanu i utječe na.pk domene Googlea, Microsofta, Yahooa, PayPala i drugih tvrtki. "PKNIC je postao svjestan ranjivosti u jednom od svojih sustava koji su u petak navečer 23. studenog izazvali ukupno četiri korisnička računa, utječući na devet DNS-a zapisa, od ukupno oko pedeset tisuća ", rekao je registar u priopćenju objavljenom na svojim internetskim stranicama ovog tjedna. "To je dovelo do preusmjeravanja nekoliko adresa web stranica na stranicu s porukom, na kojoj je poruka o turskom jeziku bila pogrešna nekoliko sati. Gotovo sve ove web stranice su zrcala globalnih web mjesta kao što su google.pk, microsoft.pk, ili nositelji mjesta za međunarodne marke koji zapravo ne posluju u Pakistanu, kao što su paypal.pk itd. "

Botezatu vjeruje da hakeri koji su u srijedu srušili DNS rumunjskih domena mogli bi biti isti koji su bili odgovorni za napad u Pakistanu prošlog tjedna.

Napadi prema registarskim organizacijama vršne domene (ccTLD) na nacionalnoj razini čine se povećavaju. U listopadu su napadači uspjeli promijeniti NS zapise nekoliko irskih domena, uključujući Google.ie i Yahoo.ie.

9. studenog,.IE Domain Registry (IEDR) objavio je izjavu da je incident bio rezultat hakera koji iskorištavaju ranjivost na web mjestu registra.