हमलावर Google, माइक्रोसॉफ्ट, याहू, अन्य के .ro डोमेन को हाइजैक करते हैं

Google, याहू, माइक्रोसॉफ्ट, कैस्पर्सकी लैब और अन्य कंपनियों के रोमानियाई डोमेन नाम बुधवार को अपहृत कर दिए गए थे और उन्हें रीडायरेक्ट किया गया था नीदरलैंड में हैक किया गया सर्वर।

अपहरणकर्ता DNS. (डोमेन नाम सिस्टम) स्तर पर हुआ, हमलावरों ने google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky के लिए DNS रिकॉर्ड्स को संशोधित करने के साथ सुरक्षा विक्रेता विक्रेता कैस्पर्सकी लैब में वैश्विक शोध और विश्लेषण टीम के निदेशक कॉस्टिन राययू के मुताबिक.ro और paypal.ro।

इसने वेबसाइटों को उनकी नियमित सामग्री के बजाय हमलावर-आपूर्ति पृष्ठ प्रदर्शित करने के लिए प्रेरित किया - आमतौर पर ज्ञात हमला एक वेबसाइट की कमी के रूप में। इस मामले में प्रदर्शित दुष्ट पृष्ठ ने एलियास एमसीए-सीआरबी का उपयोग करके हमले को अल्जीरियाई हैकर को जिम्मेदार ठहराया। हैकर ने जोन-H.org वेबसाइट, वेब डिफैसमेंट आर्काइव पर विस्थापित वेबसाइटों के स्क्रीन शॉट्स पोस्ट किए हैं।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

हैकर ने डोमेन को इंगित किया नीदरलैंड-सर्वर 1.joomlapartner.nl में सर्वर-जो कि हैक किया गया प्रतीत होता है, रोमानियाई एंटीवायरस विक्रेता बिटकडेन्डर के एक वरिष्ठ ई-धमकी विश्लेषक बोगदान बोटेजातु ने कहा।

बोटेजातु का मानना ​​है कि DNS रिकॉर्ड के परिणामस्वरूप संशोधित किया गया था RoTLD डोमेन रजिस्ट्री पर एक सुरक्षा उल्लंघन, जो संपूर्ण.ro डोमेन स्पेस के लिए आधिकारिक DNS सर्वर प्रबंधित करता है।

रोमानियाई राष्ट्रीय सूचना विज्ञान अनुसंधान और विकास संस्थान, जो संगठन RoTLD रजिस्ट्री चलाता है, ने अनुरोध का जवाब नहीं दिया राय के लिए।

आरओटीएलडी वेब सिस्टम का समझौता.ro डोमेन नाम मालिकों द्वारा उनके डोमेन को प्रशासित करने के लिए उपयोग किया जाता है, या रजिस्ट्री के DNS सर्वर संभावनाओं में से एक है।

कास्पर्स्की लैब का आरओटीएलडी खाता जिसका उपयोग किया गया था प्रशासक कास राइयू ने कहा कि प्रभावित डोमेन नामों में से एक- ने किसी भी अलर्ट या समझौता के अन्य स्पष्ट संकेत प्रदर्शित नहीं किए हैं। हालांकि, यह सीधे आरओटीएलडी प्रशासक के खाते तक पहुंच प्राप्त करने वाले हैकर्स की संभावना को शामिल नहीं करता है।

कास्पर्स्की आरओटीएलडी के साथ आधिकारिक शिकायत दर्ज करने की प्रक्रिया में है, राययू ने कहा।

एक अन्य परिदृश्य में हमलावर शामिल हैं एक तथाकथित DNS जहरीले हमले की शुरुआत, जिसके परिणामस्वरूप Google के सार्वजनिक DNS रिज़ॉल्वर सर्वर-8.8.8.8 और 8.8.4.4 में नकली DNS रिकॉर्ड्स डाले जा रहे थे-कैस्पर्सकी शोधकर्ताओं ने बुधवार को एक ब्लॉग पोस्ट में कहा।

सभी रोमानियाई उपयोगकर्ता प्रभावित नहीं थे हमले से वास्तव में, कई रोमानियाई आईएसपी के DNS रिज़ॉल्वर सर्वर ने जहरीले रिकॉर्ड की रिपोर्ट नहीं की, राई ने कहा।

हालांकि, यह कैशिंग के समय में मतभेदों के कारण हो सकता है। Google के सार्वजनिक DNS सर्वर को कुछ आईएसपी के DNS रिज़ॉल्यूशन से अधिक, आरओटीएलडी द्वारा संचालित आधिकारिक DNS सर्वरों से पूछताछ करके DNS रिकॉर्ड्स को रीफ्रेश करने के लिए कॉन्फ़िगर किया जा सकता है।

"रोमानिया में Google सेवाएं हैक नहीं की गईं", Google प्रतिनिधि ने बुधवार को कहा ईमेल के माध्यम से। "एक छोटी अवधि के लिए, www.google.ro और कुछ अन्य वेब पतों पर जाने वाले कुछ उपयोगकर्ता एक अलग वेबसाइट पर रीडायरेक्ट किए गए थे। याहू के प्रवक्ता ने ईमेल के माध्यम से कहा, "हम रोमानिया में डोमेन नामों के प्रबंधन के लिए ज़िम्मेदार संगठन के संपर्क में हैं।"

"हम जानते हैं कि याहू.रो रोमानिया में कुछ उपयोगकर्ताओं के लिए पहुंच योग्य नहीं था।" "इस मुद्दे को हल किया गया है और इससे होने वाली किसी भी असुविधा के लिए हम क्षमा चाहते हैं।"

"27 नवंबर को, माइक्रोसॉफ्ट.रो को किसी तृतीय पक्ष DNS मुद्दे से प्रभावित किया गया था," माइक्रोसॉफ्ट ने एक ईमेल में बयान में कहा। "साइट को पूरी तरह से बहाल कर दिया गया है और हम पुष्टि कर सकते हैं कि किसी भी ग्राहक की जानकारी से समझौता नहीं किया गया था। हम अपने तीसरे पक्ष के भागीदारों के साथ अपने सुरक्षा प्रथाओं का मूल्यांकन करने के लिए काम कर रहे हैं। "

यह स्पष्ट नहीं है कि paypal.ro डोमेन नाम वास्तव में पेपैल के स्वामित्व में है या नहीं। पेपैल ने स्पष्टीकरण मांगने के लिए टिप्पणी के तुरंत अनुरोध का जवाब नहीं दिया।

रोमानिया में हमले पाकिस्तान के पिछले हफ्ते ऐसा ही हुआ जो Google, माइक्रोसॉफ्ट, याहू, पेपैल और अन्य कंपनियों के पीपी डोमेन को प्रभावित करता था। सुरक्षा उल्लंघन पीकेएनआईसी, पीपीएन डोमेन रजिस्ट्री पर वापस खोजा गया था।

"पीकेएनआईसी अपने सिस्टम में से एक में भेद्यता के बारे में जागरूक हो गया जिसके कारण शुक्रवार की शाम 23 नवंबर को कुल चार उपयोगकर्ता खातों का उल्लंघन किया गया, नौ DNS पर असर पड़ा रजिस्ट्री ने इस सप्ताह अपनी वेबसाइट पर प्रकाशित एक बयान में कहा, "कुल पचास हजार में से रिकॉर्ड।" "इससे कुछ घंटों तक तुर्की भाषा में एक विस्थापित संदेश के साथ, संदेश पृष्ठ पर रीडायरेक्ट किए जाने के लिए कई वेबसाइट पते सामने आए। इन सभी वेबसाइटों में से वैश्विक वेबसाइटों जैसे कि google.pk, microsoft.pk, या अंतरराष्ट्रीय ब्रांड नामों के लिए प्लेसहोल्डर हैं, जो वास्तव में पेपैल.pk आदि जैसे पाकिस्तान में व्यवसाय नहीं करते हैं। "

बोटेजातु का मानना ​​है कि पिछले हफ्ते रोमानियाई डोमेन के डीएनएस को अपहृत करने वाले हैकर्स पिछले हफ्ते पाकिस्तान में हमले के लिए जिम्मेदार होंगे।

देश-कोड शीर्ष-स्तरीय डोमेन (सीसीटीएलडी) रजिस्ट्री संगठनों के खिलाफ हमले बढ़ रहे हैं। अक्टूबर में, हमलावरों ने Google.ie और याहू सहित कई आयरिश डोमेन नामों के एनएस रिकॉर्ड को बदलने में कामयाब रहे।

9 नवंबर को, आईई डोमेन रजिस्ट्री (आईईडीआर) ने एक बयान जारी करते हुए कहा कि घटना परिणाम था रजिस्ट्री की वेबसाइट में भेद्यता का शोषण करने वाले हैकर्स का।