Google, Twitter i New York Times - ataki poprzez DNS hijacking

[ichito]

Za Niebezpiecznikiem

Podobnie jak w przypadku wczorajszego ataku na Google, powodem dzisiejszej niedostępności serwisu Twitter, NY Times oraz Huffington Post było przejęcie DNS-ów. Do ataku przyznała się Syryjska Armia Elektroniczna (SEA) “hacktywiści” popierający Bashara al-Assada.

Twitter & NYTimes — porwanie DNS-ów i przekierowanie domen

Atakujący w niewyjaśniony dotąd sposób uzyskali kontrolę nad kontami rejestratora domen Twittera oraz NY Times (mogli odgadnąć hasła dostępowe, albo wykorzystać błąd w webaplikacji służącej do zarządzania domenami). Podmieniono wpisy dotyczące serwerów DNS dla tych domen, podając IP serwerów DNS kontrolowanych przez atakujących. Serwery te przekierowały użytkowników na strony WWW podstawione przez SEA.
Ofiarą padły DNS-y, gdyż zapewne w samych serwisach SEA nie było w stanie znaleźć żadnych błędów, a pracownicy — zarówno Twittera jak i NY Times przestali się nabierać na ataki spear phishng, tak chętnie przez SEA stosowane.
W ogólności, do takiego stanu rzeczy jaki obserwujemy mogą prowadzić ataki na DNS-y, które można przeprowadzić na 3 sposoby:

Cache poisoning — zatruwanie pamięci cache rekrusywnych serwerów DNS (te z reguły znajdują się najbliżej internautów)

Włamanie na serwer DNS (autorytatywny dla danej domeny) — i nadpisanie utrzymywanej na tymże serwerze strefy DNS ofiary swoimi wpisami

Włamanie na konto registrara, z którego zarejestrowano domenę — i zmiana rekordu NS dla danej domeny. Tu możliwości są dwie: odgadnąć hasło do konta lub wykorzystać błąd w webinterfejsie serwisu WWW registrara.
W przypadku dzisiejszego ataku, SEA skorzystało z trzeciej opcji, uzyskując kontrolę nad kontami Twittera i NY Timesa u registrara o nazwie MelbourneIT — tak przynajmniej twierdzi przedstawiciel Dyn, firmy która utrzymuje oryginalne serwery DNS wykorzystywane przez Twittera.

[Aby zobaczyć linki, zarejestruj się tutaj]

Źródło

[Aby zobaczyć linki, zarejestruj się tutaj]