Наука 2017-01-12T19:12:40+02:00
Українські Новини
Хакеры "угнали" сотни доменов из зоны .RU

Хакеры "угнали" сотни доменов из зоны .RU

Доступ к управлению доменом, позволил киберпреступникам заменять NS-адреса для каждого домена на новые вида ns1.имядомена.ru и ns2.имядомена.ru.
Доступ к управлению доменом, позволил киберпреступникам заменять NS-адреса для каждого домена на новые вида ns1.имядомена.ru и ns2.имядомена.ru.

Некоторые провайдеры уже отреагировали на ситуацию, не только известив своих клиентов о проблеме, но и закрыв трафик с указанных прокси-серверов.

Хостинг-провайдер Net Angels сообщает о массовом "угоне" доменов зоны .RU, зарегистрированных через регистратора RU-CENTER. С 3 по 6 июня неизвестные злоумышленники получили контроль над несколькими сотнями доменов.

Из числа клиентов Net Angels пострадало лишь несколько десятков человек, а вот от каждого из более крупных провайдеров подобным образом ежесуточно "утекают" десятки доменов - эта информация подтверждается через сервис stat.nic.ru. Таким образом, очевидно, что общий счет идет на сотни.

Провайдер описывает и схему, которой пользуются киберпреступники (аналогичная процедура массового "угона" доменов была не раз подробно описана в Интернете, но данный случай несколько отличается). Для начала злоумышленники находят домены, зарегистрированные на электронные адреса на mail.ru и bk.ru. Затем из полученного списка выбираются неиспользуемые и освобожденные адреса, после чего преступники регистрируют освободившиеся ящики на себя и запрашивают восстановление пароля на сайте nic.ru.

Получив доступ к управлению доменом, киберпреступники заменяют NS-адреса для каждого домена на новые вида ns1.имядомена.ru и ns2.имядомена.ru. Причем, оба сервера указывают на IP-адреса в подсети 62.122.75.0/24. Именно по этим признакам можно идентифицировать "захваченные" домены.

Ключевым отличием данной схемы является то, что NS-адреса злоумышленников для начала перенаправляют запросы к реальным серверам хостинг-провайдера, а потому владелец домена может вообще не заметить, что произошло неладное. В дальнейшем же в любой произвольный момент весь трафик со всех "захваченных" доменов может быть переадресован на сайты злоумышленников.

Некоторые провайдеры уже отреагировали на ситуацию, не только известив своих клиентов о проблеме, но и закрыв трафик с указанных прокси-серверов, чтобы не допустить утечки логинов и паролей посетителей и администраторов пострадавших сайтов.

Стоит отметить, что речи о краже в буквальном смысле этого слова здесь не идет - домены остаются зарегистрированными на своих настоящих владельцев, поскольку для передачи домена другому лицу требуется бумажное заявление.

Напомним, в апреле хакеры заполучили парольную систему Gaia, контролирующую доступ миллионов пользователей к почти всем веб-сервисам компании Google. После взлома компания внесла значительные изменения в систему безопасности.

По теме

Архив
Новости
Хаотичную застройку одесского побережья компанией Кадорр через суд могут признать незаконной 10:54
Переговоры о членстве Турции в ЕС остановятся после введения Стамбулом смертной казни, - Меркель 10:46
Украинская теннисистка Свитолина обыграла свою соперницу из Румынии в турнире WTA и вышла в полуфинал 10:20
В МИДе отреагировали на информацию о задержании украинского судна ВМС Ливии 10:05
Сколько стоит подготовка к ВНО. Фото: 24tv.ua
Близится ВНО: сколько может стоить подготовка и как работают аферисты (инфографика) 09:32
После запуска ракеты КНДР Трамп назвал президента Китая другом и обвинил Северную Корею в неуважении 09:05
Сутки АТО: ситуация обострилась, совершено 70 обстрелов, двое военных погибли 08:39
КНДР испытала баллистическую ракету, запуск оказался неудачным 08:21
Ливийские ВМС с боем задержали украинское судно 08:02
С ветерком по Сырецком парке: в Киеве открыла новый сезон детская железная дорога 07:30
больше новостей

ok