Les attaquants détournent les domaines .ro de Google, Microsoft, Yahoo, autres

Les noms de domaine roumains de Google, Yahoo, Microsoft, Kaspersky Lab et d'autres sociétés ont été détournés mercredi.

Le piratage a eu lieu au niveau DNS (Domain Name System), avec des attaquants modifiant les enregistrements DNS pour google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro et paypal.ro, selon Costin Raiu, directeur de l'équipe mondiale de recherche et d'analyse chez le fournisseur de sécurité Kaspersky Lab.

Cela a conduit les sites Web affichant une page fournie par l'attaquant au lieu de leur contenu habituel - une attaque généralement connue comme un défacement de site Web. La page voyous affichée dans ce cas a attribué l'attaque à un pirate algérien utilisant l'alias MCA-CRB. Le hacker a également posté des captures d'écran des sites Web endommagés sur le site Zone-H.org, une archive de défacement Web.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Le pirate a pointé les domaines vers un Le serveur aux Pays-Bas-server1.joomlapartner.nl-qui semble également avoir été piraté, a déclaré Bogdan Botezatu, un analyste senior e-menace au fournisseur antivirus roumain Bitdefender.

Botezatu estime que les enregistrements DNS ont été modifiés à la suite de une faille de sécurité au registre de domaine RoTLD, qui gère les serveurs DNS faisant autorité pour l'ensemble de l'espace de domaine.ro

L'Institut national roumain de recherche et de développement informatique, l'organisation qui gère le registre RoTLD, n'a pas répondu à une demande pour commenter.

Un compromis du système RoTLD Web utilisé par les propriétaires de noms de domaine.ro pour administrer leurs domaines, ou des serveurs DNS du registre est l'une des possibilités, a dit Raiu.

Le compte RoTLD de Kaspersky Lab utilisé pour administrer kas persky.ro, l'un des noms de domaine affectés, n'a affiché aucune alerte ni aucun signe évident de compromis, a indiqué Raiu. Cependant, cela n'exclut pas la possibilité pour les pirates d'accéder directement au compte d'un administrateur de RoTLD, a-t-il dit.

Kaspersky est en train de déposer une plainte officielle auprès de RoTLD, a dit Raiu. Lançant une soi-disant attaque d'empoisonnement DNS, qui a abouti à des enregistrements DNS voyous étant insérés dans les serveurs publics DNS resolver-8.8.8.8 et 8.8.4.4-Kaspersky chercheurs ont déclaré mercredi dans un blog.

Tous les utilisateurs roumains ont été touchés par l'attaque. En fait, les serveurs de résolution DNS de nombreux FAI roumains n'ont pas signalé les enregistrements empoisonnés, a dit Raiu.

Cependant, cela peut être dû à des différences dans les temps de mise en cache. Les serveurs DNS publics de Google peuvent être configurés pour actualiser les enregistrements DNS en interrogeant les serveurs DNS faisant autorité, comme ceux exploités par RoTLD, plus rapidement que les résolveurs DNS de certains FAI.

"Les services Google en Roumanie n'ont pas été piratés" par email. "Pendant une courte période, certains utilisateurs visitant www.google.ro et quelques autres adresses Web ont été redirigés vers un site Web différent. Nous sommes en contact avec l'organisation responsable de la gestion des noms de domaine en Roumanie. "

" Nous sommes conscients que Yahoo.ro était inaccessible à certains utilisateurs en Roumanie ", a déclaré un porte-parole de Yahoo par e-mail. "Ce problème est résolu et nous nous excusons pour tout inconvénient que cela pourrait avoir causé."

"Le 27 novembre, Microsoft.ro a été touché par un problème DNS tiers", a déclaré Microsoft dans un communiqué envoyé par courrier électronique. "Le site a depuis été entièrement restauré et nous pouvons confirmer qu'aucune information client n'a été compromise. Nous travaillons avec nos partenaires tiers pour évaluer leurs pratiques de sécurité. "

Il n'est pas clair si le nom de domaine paypal.ro appartient réellement à PayPal. PayPal n'a pas immédiatement répondu à une demande de commentaire demandant des éclaircissements.

L'attaque en Roumanie fait suite à une attaque similaire qui s'est produite la semaine dernière au Pakistan et a affecté les domaines.pk de Google, Microsoft, Yahoo, PayPal et d'autres sociétés. La faille de sécurité a été retracée à PKNIC, le registre de domaine.pk.

"PKNIC a découvert une vulnérabilité dans l'un de ses systèmes qui a provoqué la violation de quatre comptes utilisateurs vendredi soir 23 novembre, impactant neuf DNS record, sur un total d'environ cinquante mille ", a déclaré le registre dans un communiqué publié sur son site cette semaine. "Cela a conduit à plusieurs adresses de sites Web à rediriger vers une page de message, avec un message défiguré en langue turque pendant quelques heures. Presque tous ces sites étaient des miroirs de sites mondiaux tels que google.pk, microsoft.pk, ou des noms de marques internationales qui ne font pas d'affaires au Pakistan, comme paypal.pk, etc. "

Botezatu croit que les pirates qui ont détourné le DNS des domaines roumains mercredi pourraient être les mêmes responsables de l'attaque au Pakistan la semaine dernière.

Les attaques contre les organisations de registre de domaine de premier niveau (ccTLD) semblent augmenter. En Octobre, les attaquants ont réussi à changer les enregistrements NS de plusieurs noms de domaine irlandais, y compris Google.ie et Yahoo.ie.

Le 9 novembre, le Registre de domaine.IE (IEDR) a publié une déclaration disant que l'incident était le résultat des pirates informatiques exploitant une vulnérabilité sur le site Web du registre.