Los atacantes secuestran los dominios .ro de Google, Microsoft, Yahoo, otros

Los nombres de dominio rumanos de Google, Yahoo, Microsoft, Kaspersky Lab y otras compañías fueron secuestrados el miércoles y fueron redirigidos a un servidor pirateado en los Países Bajos.

El secuestro se produjo en el nivel DNS (Sistema de nombres de dominio), con atacantes que modificaron los registros DNS para google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro y paypal.ro, según Costin Raiu, director del equipo global de investigación y análisis del vendedor de seguridad Kaspersky Lab.

Esto llevó a que los sitios web mostraran una página proporcionada por el atacante en lugar de su contenido habitual, un ataque comúnmente conocido como una desfiguración del sitio web. La página rogue que se muestra en este caso atribuyó el ataque a un pirata informático argelino utilizando el alias MCA-CRB. El hacker también publicó capturas de pantalla de los sitios web desfigurados en el sitio web Zone-H.org, un archivo de desfragmentación web.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

El hacker apuntó los dominios a un servidor en los Países Bajos-servidor1.joomlapartner.nl-que también parece haber sido pirateado, dijo Bogdan Botezatu, un analista senior de e-threat en el proveedor rumano de antivirus Bitdefender.

Botezatu cree que los registros del DNS fueron modificados como resultado de una violación de seguridad en el registro de dominios RoTLD, que administra los servidores DNS autorizados para todo el espacio de dominio.ro.

El Instituto Nacional de Investigación y Desarrollo de la Informática Rumana, la organización que ejecuta el registro RoTLD, no respondió a una solicitud para comentarios.

Una de las posibilidades es que el propietario del nombre de dominio.ro comprometa el sistema RoTLD Web para administrar sus dominios, o los servidores DNS del registro.

La cuenta RoTLD de Kaspersky Lab que se usó para administrar kas persky.ro, uno de los nombres de dominio afectados, no mostró ninguna alerta u otras señales obvias de compromiso, dijo Raiu. Sin embargo, esto no excluye la posibilidad de que los hackers accedan directamente a la cuenta de un administrador de RoTLD, dijo.

Kaspersky está en el proceso de presentar una queja oficial con RoTLD, dijo Raiu.

Otro escenario involucra a los atacantes lanzando un llamado ataque de envenenamiento DNS, que resultó en registros DNS no autorizados REPLACEados en los servidores de resolución de DNS públicos de Google-8.8.8.8 y 8.8.4.4-investigadores de Kaspersky dijeron el miércoles en una publicación de blog.

No todos los usuarios rumanos se vieron afectados por el ataque. De hecho, los servidores de resolución de DNS de muchos ISP rumanos no informaron los registros envenenados, dijo Raiu.

Sin embargo, esto podría deberse a diferencias en los tiempos de almacenamiento en caché. Los servidores DNS públicos de Google podrían configurarse para actualizar los registros DNS interrogando servidores DNS autorizados, como los operados por RoTLD, más rápido que los resolvedores DNS de algunos ISP.

"Los servicios de Google en Rumania no fueron pirateados", dijo un representante de Google el miércoles vía correo electrónico. "Durante un breve período, algunos usuarios que visitaban www.google.ro y algunas otras direcciones web fueron redirigidos a un sitio web diferente. Estamos en contacto con la organización responsable de administrar nombres de dominio en Rumania. "

" Somos conscientes de que Yahoo.ro era inaccesible para algunos usuarios en Rumania ", dijo una portavoz de Yahoo por correo electrónico. "Este problema se resolvió y pedimos disculpas por cualquier inconveniente que esto pueda haber causado".

"El 27 de noviembre, Microsoft.ro se vio afectado por un problema de DNS de terceros", dijo Microsoft en un comunicado enviado por correo electrónico. "Desde entonces, el sitio se ha restaurado completamente y podemos confirmar que no se comprometió la información del cliente. Estamos trabajando con nuestros socios externos para evaluar sus prácticas de seguridad. "

No está claro si el nombre de dominio paypal.ro en realidad es propiedad de PayPal. PayPal no respondió de inmediato a una solicitud de comentario en busca de aclaración.

El ataque en Rumanía sigue uno similar que ocurrió la semana pasada en Pakistán y afectó los dominios.pk de Google, Microsoft, Yahoo, PayPal y otras compañías. La violación de seguridad se remonta a PKNIC, el registro de dominio.pk.

"PKNIC se dio cuenta de una vulnerabilidad en uno de sus sistemas que causó el incumplimiento de un total de cuatro cuentas de usuario el viernes 23 de noviembre por la noche, afectando a nueve DNS registros, de un total de alrededor de cincuenta mil ", dijo el registro en un comunicado publicado en su sitio web esta semana. "Eso llevó a varias direcciones de sitios web a ser redirigidas a una página de mensajes, con un mensaje borrado en idioma turco durante unas horas. Casi todos estos sitios web eran réplicas de sitios globales como google.pk, microsoft.pk, o titulares de lugares para marcas internacionales que no hacen negocios en Pakistán como paypal.pk, etc. "

Botezatu cree que los piratas informáticos que secuestraron el DNS de los dominios rumanos el miércoles podrían ser los mismos responsables del ataque en Pakistán la semana pasada.

Los ataques contra las organizaciones de registro de dominios de primer nivel (ccTLD) parecen estar aumentando. En octubre, los atacantes lograron cambiar los registros NS de varios nombres de dominio irlandeses, incluidos Google.ie y Yahoo.ie.

El 9 de noviembre, el Registro de Dominios.IE (IEDR) emitió una declaración que decía que el incidente fue el resultado de hackers que explotan una vulnerabilidad en el sitio web del registro.