News

Google.ro und andere RO-Domains Opfer einer möglichen DNS-Hijacking-Attacke

Heute hat Softpedia berichtet, dass es einem algerischen Hacker mit dem Nickname MCA-CRB gelungen ist, die rumänischen Websites von Google (google.ro) und Yahoo! (yahoo.ro) zu verunstalten.

208194030

Screenshot der entstellten Google.ro-Domain

Als wir von diesem Vorfall erfuhren, waren wir dem Hack dieser Websites gegenüber sehr skeptisch. Eine Website der Größenordnung von Google kann theoretisch gehackt werden, aber es ist höchst unwahrscheinlich. Wir bemerkten dann, dass sich beide Domains in eine in den Niederlanden befindliche IP-Adresse auflösen: 95.128.3.172 (server1.joomlapartner.nl) – es sieht also vielmehr nach einem DNS-Poisoning-Angriff aus.

Es stellt sich nur die Frage, wo genau die DNS-Spoofing/Poisoning-Attacke stattgefunden hat. Hier sind mehrere Szenarien vorstellbar:

  • RoTLD (der Rumänische Top Level Domain Registrar) wurde gehackt, infolgedessen die Angreifer Zugriff auf die DNS-Einstellungen aller .ro-Domains erhalten haben. Nicht alle .ro-Domains waren betroffen, daher ist diese These höchst unwahrscheinlich.
  • Die RoTLD-Accounts von Google und Yahoo wurden kompromittiert, was den Angreifern die Möglichkeit gab, deren DNS-Einstellungen zu ändern. Dass es so passiert ist, ist ebenfalls unwahrscheinlich, da wir herausgefunden haben, dass nicht nur die Websites von Google und Yahoo, sondern auch die von Paypal, Microsoft und anderen betroffen waren.
  • Zum gegenwärtigen Zeitpunkt besteht unsere wahrscheinlichste Theorie darin, dass in Rumänien eine DNS-Poisoning-Attacke auf ISP-Ebene durchgeführt wird. Einige Domains werden umgeleitet, andere nicht.

Es hätte alles auch viel schlimmer kommen können, wenn es dem Angreifer nicht nur darum gegangen wäre, bekannt zu werden, indem er populäre Websites verändert. Man stelle sich einmal vor, wie viele Accounts im Laufe des Morgens hätten kompromittiert werden können, wenn diese Websites zu einer Phishing-Seite anstatt auf eine Defacement-Seite umgeleitet worden wären.

Derzeit führen wir einen umfassenden Zonenscan für alle .RO-Domains durch, um das Ausmaß dieses Angriffs einschätzen zu können.

Wir werden das Posting aktualisieren, sobald wir neue Informationen haben.

UPDATE Wir haben verschiedene DNS-Server auf die Poisoning-Attacke überprüft, und im Moment sind die einzigen, die auf den gekaperten Eintrag reagieren 8.8.8.8 und 8.8.4.4 (Googles öffentliche DNS-Server). Wir konnten keine anderen rumänischen DNS-Server identifizieren, die dieses Verhalten aufweisen.

UPDATE 2 Jeder kann die DNS-Poisoning-Attacke selbst testen, und zwar mit dig: dig @8.8.8.8 google.ro oder dig @8.8.4.4 google.ro

208194032

UPDATE 3 Nach unseren Beobachtungen liefern die Google DNS-Server bei 8.8.8.8 keine vergifteten Antworten mehr. Der andere Google DNS-Server bei 8.8.4.4 scheint die Anwender noch immer auf die IP-Adresse der Angreifer umzuleiten. Wir nehmen an, dass Google dabei ist, die Funktionsfähigkeit wiederherzustellen, während wir dieses schreiben.

UPDATE 4 Es scheint, als wäre das Problem mit der Google.ro-Domain gegen 13:00 GMT +2 (rumänische Zeit) auf beiden DNS-Servern (8.8.8.8 und 8.8.4.4) behoben. Andere Domains wie z.B. Paypal.ro sind noch nicht wiederhergestellt.

208194033

UPDATE 5 Nach einer Analyse des jüngsten Vorfalls sieht es so aus, als wäre das wahrscheinlichste Szenario für die heutige DNS-Hijacking/Poisoning-Attacke ein Hack der RoTLD – Der rumänischen Top Level Domain Registry. Im laufenden Monat gab es einen ähnlichen Vorfall bei der Irischen Domain-Registry – IEDR. Die Stellungnahme der IEDR finden Sie hier. RoTLD hat bisher noch keine Erklärung abgegeben.

Hier die vollständige Liste der .RO-Domains, die von dem heutigen Vorfall betroffen waren:

  • google.ro
  • yahoo.ro
  • microsoft.ro
  • paypal.ro
  • kaspersky.ro
  • windows.ro
  • hotmail.ro

Wir werden die Situation weiterhin im Auge behalten.

Google.ro und andere RO-Domains Opfer einer möglichen DNS-Hijacking-Attacke

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach