Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul    
     
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.

Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog

Analytiker-Tagebuch

Google.ro und andere RO-Domains Opfer einer möglichen DNS-Hijacking-Attacke


  Stefan        3 Dezember 2012 | 16:59  MSK

Ihr Kommentar  

Heute hat Softpedia berichtet, dass es einem algerischen Hacker mit dem Nickname MCA-CRB gelungen ist, die rumänischen Websites von Google (google.ro) und Yahoo! (yahoo.ro) zu verunstalten.


Screenshot der entstellten Google.ro-Domain

Als wir von diesem Vorfall erfuhren, waren wir dem Hack dieser Websites gegenüber sehr skeptisch. Eine Website der Größenordnung von Google kann theoretisch gehackt werden, aber es ist höchst unwahrscheinlich. Wir bemerkten dann, dass sich beide Domains in eine in den Niederlanden befindliche IP-Adresse auflösen: 95.128.3.172 (server1.joomlapartner.nl) – es sieht also vielmehr nach einem DNS-Poisoning-Angriff aus.


Es stellt sich nur die Frage, wo genau die DNS-Spoofing/Poisoning-Attacke stattgefunden hat. Hier sind mehrere Szenarien vorstellbar:



  • RoTLD (der Rumänische Top Level Domain Registrar) wurde gehackt, infolgedessen die Angreifer Zugriff auf die DNS-Einstellungen aller .ro-Domains erhalten haben. Nicht alle .ro-Domains waren betroffen, daher ist diese These höchst unwahrscheinlich.
  • Die RoTLD-Accounts von Google und Yahoo wurden kompromittiert, was den Angreifern die Möglichkeit gab, deren DNS-Einstellungen zu ändern. Dass es so passiert ist, ist ebenfalls unwahrscheinlich, da wir herausgefunden haben, dass nicht nur die Websites von Google und Yahoo, sondern auch die von Paypal, Microsoft und anderen betroffen waren.
  • Zum gegenwärtigen Zeitpunkt besteht unsere wahrscheinlichste Theorie darin, dass in Rumänien eine DNS-Poisoning-Attacke auf ISP-Ebene durchgeführt wird. Einige Domains werden umgeleitet, andere nicht.

Es hätte alles auch viel schlimmer kommen können, wenn es dem Angreifer nicht nur darum gegangen wäre, bekannt zu werden, indem er populäre Websites verändert. Man stelle sich einmal vor, wie viele Accounts im Laufe des Morgens hätten kompromittiert werden können, wenn diese Websites zu einer Phishing-Seite anstatt auf eine Defacement-Seite umgeleitet worden wären.


Derzeit führen wir einen umfassenden Zonenscan für alle .RO-Domains durch, um das Ausmaß dieses Angriffs einschätzen zu können.


Wir werden das Posting aktualisieren, sobald wir neue Informationen haben.

UPDATE Wir haben verschiedene DNS-Server auf die Poisoning-Attacke überprüft, und im Moment sind die einzigen, die auf den gekaperten Eintrag reagieren 8.8.8.8 und 8.8.4.4 (Googles öffentliche DNS-Server). Wir konnten keine anderen rumänischen DNS-Server identifizieren, die dieses Verhalten aufweisen.


UPDATE 2 Jeder kann die DNS-Poisoning-Attacke selbst testen, und zwar mit dig: dig @8.8.8.8 google.ro oder dig @8.8.4.4 google.ro



UPDATE 3 Nach unseren Beobachtungen liefern die Google DNS-Server bei 8.8.8.8 keine vergifteten Antworten mehr. Der andere Google DNS-Server bei 8.8.4.4 scheint die Anwender noch immer auf die IP-Adresse der Angreifer umzuleiten. Wir nehmen an, dass Google dabei ist, die Funktionsfähigkeit wiederherzustellen, während wir dieses schreiben.


UPDATE 4 Es scheint, als wäre das Problem mit der Google.ro-Domain gegen 13:00 GMT +2 (rumänische Zeit) auf beiden DNS-Servern (8.8.8.8 und 8.8.4.4) behoben. Andere Domains wie z.B. Paypal.ro sind noch nicht wiederhergestellt.



UPDATE 5 Nach einer Analyse des jüngsten Vorfalls sieht es so aus, als wäre das wahrscheinlichste Szenario für die heutige DNS-Hijacking/Poisoning-Attacke ein Hack der RoTLD – Der rumänischen Top Level Domain Registry. Im laufenden Monat gab es einen ähnlichen Vorfall bei der Irischen Domain-Registry - IEDR. Die Stellungnahme der IEDR finden Sie hier. RoTLD hat bisher noch keine Erklärung abgegeben.


Hier die vollständige Liste der .RO-Domains, die von dem heutigen Vorfall betroffen waren:


  • google.ro

  • yahoo.ro

  • microsoft.ro

  • paypal.ro

  • kaspersky.ro

  • windows.ro

  • hotmail.ro


Wir werden die Situation weiterhin im Auge behalten.

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen