Google.ro und andere RO-Domains Opfer einer möglichen DNS-Hijacking-Attacke

Heute hat Softpedia berichtet, dass es einem algerischen Hacker mit dem Nickname MCA-CRB gelungen ist, die rumänischen Websites von Google (google.ro) und Yahoo! (yahoo.ro) zu verunstalten.

208194030

Screenshot der entstellten Google.ro-Domain

Als wir von diesem Vorfall erfuhren, waren wir dem Hack dieser Websites gegenüber sehr skeptisch. Eine Website der Größenordnung von Google kann theoretisch gehackt werden, aber es ist höchst unwahrscheinlich. Wir bemerkten dann, dass sich beide Domains in eine in den Niederlanden befindliche IP-Adresse auflösen: 95.128.3.172 (server1.joomlapartner.nl) – es sieht also vielmehr nach einem DNS-Poisoning-Angriff aus.

Es stellt sich nur die Frage, wo genau die DNS-Spoofing/Poisoning-Attacke stattgefunden hat. Hier sind mehrere Szenarien vorstellbar:

  • RoTLD (der Rumänische Top Level Domain Registrar) wurde gehackt, infolgedessen die Angreifer Zugriff auf die DNS-Einstellungen aller .ro-Domains erhalten haben. Nicht alle .ro-Domains waren betroffen, daher ist diese These höchst unwahrscheinlich.
  • Die RoTLD-Accounts von Google und Yahoo wurden kompromittiert, was den Angreifern die Möglichkeit gab, deren DNS-Einstellungen zu ändern. Dass es so passiert ist, ist ebenfalls unwahrscheinlich, da wir herausgefunden haben, dass nicht nur die Websites von Google und Yahoo, sondern auch die von Paypal, Microsoft und anderen betroffen waren.
  • Zum gegenwärtigen Zeitpunkt besteht unsere wahrscheinlichste Theorie darin, dass in Rumänien eine DNS-Poisoning-Attacke auf ISP-Ebene durchgeführt wird. Einige Domains werden umgeleitet, andere nicht.

Es hätte alles auch viel schlimmer kommen können, wenn es dem Angreifer nicht nur darum gegangen wäre, bekannt zu werden, indem er populäre Websites verändert. Man stelle sich einmal vor, wie viele Accounts im Laufe des Morgens hätten kompromittiert werden können, wenn diese Websites zu einer Phishing-Seite anstatt auf eine Defacement-Seite umgeleitet worden wären.

Derzeit führen wir einen umfassenden Zonenscan für alle .RO-Domains durch, um das Ausmaß dieses Angriffs einschätzen zu können.

Wir werden das Posting aktualisieren, sobald wir neue Informationen haben.

UPDATE Wir haben verschiedene DNS-Server auf die Poisoning-Attacke überprüft, und im Moment sind die einzigen, die auf den gekaperten Eintrag reagieren 8.8.8.8 und 8.8.4.4 (Googles öffentliche DNS-Server). Wir konnten keine anderen rumänischen DNS-Server identifizieren, die dieses Verhalten aufweisen.

UPDATE 2 Jeder kann die DNS-Poisoning-Attacke selbst testen, und zwar mit dig: dig @8.8.8.8 google.ro oder dig @8.8.4.4 google.ro

208194032

UPDATE 3 Nach unseren Beobachtungen liefern die Google DNS-Server bei 8.8.8.8 keine vergifteten Antworten mehr. Der andere Google DNS-Server bei 8.8.4.4 scheint die Anwender noch immer auf die IP-Adresse der Angreifer umzuleiten. Wir nehmen an, dass Google dabei ist, die Funktionsfähigkeit wiederherzustellen, während wir dieses schreiben.

UPDATE 4 Es scheint, als wäre das Problem mit der Google.ro-Domain gegen 13:00 GMT +2 (rumänische Zeit) auf beiden DNS-Servern (8.8.8.8 und 8.8.4.4) behoben. Andere Domains wie z.B. Paypal.ro sind noch nicht wiederhergestellt.

208194033

UPDATE 5 Nach einer Analyse des jüngsten Vorfalls sieht es so aus, als wäre das wahrscheinlichste Szenario für die heutige DNS-Hijacking/Poisoning-Attacke ein Hack der RoTLD – Der rumänischen Top Level Domain Registry. Im laufenden Monat gab es einen ähnlichen Vorfall bei der Irischen Domain-Registry – IEDR. Die Stellungnahme der IEDR finden Sie hier. RoTLD hat bisher noch keine Erklärung abgegeben.

Hier die vollständige Liste der .RO-Domains, die von dem heutigen Vorfall betroffen waren:

  • google.ro
  • yahoo.ro
  • microsoft.ro
  • paypal.ro
  • kaspersky.ro
  • windows.ro
  • hotmail.ro

Wir werden die Situation weiterhin im Auge behalten.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.