劫持事件发生在DNS(域名系统)级别,攻击者修改了google.ro,yahoo.ro,microsoft.ro,hotmail.ro,windows.ro,kaspersky的DNS记录.ro和paypal.ro,根据安全厂商卡巴斯基实验室全球研究和分析团队总监Costin Raiu的说法
这导致网站显示攻击者提供的页面而不是常规内容 - 这是一种常见的攻击作为网站的污点。在这种情况下显示的流氓页面将攻击归因于使用别名MCA-CRB的阿尔及利亚黑客。黑客还在Zone-H.org网站上发布了一些污损网站的屏幕截图,这是一个网络污损档案。
[进一步阅读:如何从Windows PC删除恶意软件]
黑客将这些域名指向服务器在荷兰-server1.joomlapartner.nl中 - 也似乎被黑客攻击,罗马尼亚防病毒软件商Bitdefender的高级电子威胁分析师Bogdan Botezatu表示,Botezatu认为DNS记录被修改为RoTLD域名注册机构的安全漏洞,该域名注册机构管理整个.ro域名空间的权威DNS服务器。运行RoTLD注册管理机构的罗马尼亚国家信息学研究所(RIM)没有响应请求评论
Raiu表示,对.ro域名所有者用于管理其域名或注册局的DNS服务器所使用的RoTLD Web系统的妥协是其中一种可能性。
卡巴斯基实验室的RoTLD帐户曾用于管理kas Raiu表示,受影响的域名之一persky.ro没有显示任何警告或其他明显的妥协迹象。然而,这并不排除黑客直接访问RoTLD管理员帐户的可能性,他表示。“卡勒博士正在向RoTLD提交正式投诉,Raiu说。”另一种情况是攻击者卡巴斯基研究人员周三在一篇博客文章中称,发动了所谓的DNS中毒攻击,导致流氓DNS记录被插入谷歌的公共DNS解析服务器 - 8.8.8.8和8.8.4.4。
并非所有的罗马尼亚用户都受到影响受到攻击。事实上,许多罗马尼亚ISP的DNS解析器服务器没有报告中毒记录,Raiu说。然而,这可能是由于缓存时间的差异造成的。 Google的公共DNS服务器可能被配置为通过询问权威DNS服务器(比如由RoTLD运营的DNS服务器)来刷新DNS记录,该服务器比某些ISP的DNS解析器更快。
“谷歌代表周三表示,”罗马尼亚的Google服务没有遭到黑客攻击“通过电子邮件。 “短时间内,一些访问www.google.ro和其他一些网址的用户被重定向到一个不同的网站。我们正在与负责管理罗马尼亚域名的组织进行联系。“
”我们知道,罗马尼亚的一些用户无法访问Yahoo.ro,“雅虎发言人通过电子邮件说。 “这个问题已经解决,我们对此造成的任何不便表示歉意。”
“微软在一封电子邮件声明中称,11月27日,Microsoft.ro受到第三方DNS问题的影响。 “网站已经完全恢复,我们可以确认没有客户信息被泄露。我们正在与我们的第三方合作伙伴一起评估他们的安全实践。“
尚不清楚paypal.ro域名是否实际上由PayPal所有。 PayPal没有立即回复要求澄清的意见请求。
罗马尼亚的袭击事件与上周在巴基斯坦发生的类似事件相似,并影响到谷歌,微软,雅虎,PayPal和其他公司的.pk域名。 PKNIC发现其中一个系统中存在一个漏洞,导致总共有四个用户帐户在11月23日星期五晚上被攻破,影响到9个DNS记录,总数约五万,“注册管理机构在本周发布在其网站上的声明中说。 “这导致一些网站地址被重定向到一个消息页面,几个小时后土耳其语的消息被污损。几乎所有这些网站都是全球网站的镜像,例如google.pk,microsoft.pk或国际品牌名称的持有人,他们实际上并不在巴基斯坦做生意,比如paypal.pk等。“
Botezatu相信周三劫持罗马尼亚域名DNS的黑客可能与上周在巴基斯坦发生的攻击事件相同。
对国家代码顶级域名(ccTLD)注册机构的攻击似乎正在增加。去年10月,攻击者设法更改了包括Google.ie和Yahoo.ie在内的多个爱尔兰域名的NS记录。
11月9日,.IE域名注册机构(IEDR)发布声明称,事件是结果的黑客利用注册局网站上的漏洞。