4 dic. 2012

DNS de Google Rumania alterado por atacantes (solucionado)

Días atrás Softpedia ha informado que un hacker de Argelia que opera con el sobrenombre MCA-CRB ha alterado los sitios web rumanos de Google (google.ro) y Yahoo! (yahoo.ro).

Fuimos un poco escépticos cuando nos enteramos de este incidente. Es cierto que, en teoría, un sitio web tan grande como Google puede alterarse, pero es muy improbable. Notamos que ambos dominios tienen una dirección IP ubicada en Holanda: 95.128.3.172 (server1.joomlapartner.nl), así que parece un ataque de envenenamiento de DNS.

Lo que todavía no se sabe es dónde exactamente ocurrió el ataque de envenenamiento de DNS. Hay varias posibilidades:

RoTLD (el Registro de Alto Nivel de Dominios Rumanos) sufrió un ataque informático que permitió que el atacante accediera a la configuración de todos los dominios DNS .ro. No todos los dominios .ro fueron afectados, así que es improbable que esto sea lo que haya pasado.

Se comprometieron las cuentas de RoTLD de Google y Yahoo, lo que permitió que el atacante cambiara sus configuraciones de DNS. Esto también es poco probable, ya que descubrimos que no sólo las cuentas de Google y Yahoo están comprometidas, sino también las de Paypal, Microsoft y otras empresas.

Por ahora, nos inclinamos por la posibilidad de que sea un ataque de envenenamiento de DNS que está ocurriendo en los servidores de Internet de Rumania. Algunos dominios se redirigen, otros no.

La situación podría haber sido mucho peor si el atacante hubiese tenido otros propósitos mayores que ganar fama al alterar sitios web famosos. Imagina cuántas cuentas podrían haberse comprometido esta mañana si estos sitios web hubiesen redirigido a páginas phishing en vez de a una página alterada.

Ahora estamos analizando todos los dominios .RO para determinar la extensión de este ataque.

ACTUALIZACIÓN 1: Hemos evaluado varios servidores DNS buscando el ataque de envenenamiento y, por ahora, los únicos que responden con la entrada secuestrada son 8.8.8.8 y 8.8.4.4 (servidores públicos DNS de Google). No hemos logrado identificar ningún otro servidor DNS rumano con este comportamiento.

ACTUALIZACIÓN 2: tú mismo puedes probar el ataque de envenenamiento DNS usando dig: dig @8.8.8.8 google.ro o dig @8.8.4.4 google.ro

ACTUALIZACIÓN 3: según nuestro sistema de vigilancia, los servidores DNS de Google en 8.8.8.8 ya no entregan respuestas envenenadas. Los otros servidores DNS de Google en 8.8.4.4 siguen redirigiendo a los usuarios a la dirección IP del atacante. Asumimos que Google está arreglando los registros secuestrados mientras escribimos esto.

ACTUALIZACIÓN 4: Parece que el problema con el dominio Google.ro se ha arreglado alrededor de las 13:00 GMT +2 (hora de Rumania) en ambos servidores DNS (8.8.8.8 y 8.8.4.4). Los problemas en otros dominios, como Paypal.ro, todavía no se han solucionado.

ACTUALIZACIÓN 5: después de analizar la última evidencia, parece que la explicación más probable para el incidente de secuestro/envenenamiento de DNS de hoy sea que el Registro de Alto Nivel de Dominios Rumanos (RoTLD) está comprometido. A principios de este mes se vio un incidente similar en el Registro de Dominios de Irlanda (IEDR). Puedes ver la declaración de IEDR aquí . RoTLD todavía no ha publicado ninguna declaración.

La lista completa de dominios .RO afectados por el incidente:
  • google.ro
  • yahoo.ro
  • microsoft.ro
  • paypal.ro
  • kaspersky.ro
  • windows.ro
  • hotmail.ro
Fuente: Viruslist

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!