Наука 2021-10-15T12:58:54+03:00
Українські Новини
Хакери "викрали" сотні доменів із зони .RU

Хакери "викрали" сотні доменів із зони .RU

ДОПОМОГТИ УКРАЇНСЬКИМ НОВИНАМ
Хакеры, Интернет-провайдеры, Домен
Доступ до управління доменом дапв змогу кіберзлочинцям замінити NS-адреси для кожного домена на нові виду ns1.ім'я домена.ru та ns2.ім'я домена.ru.
Доступ до управління доменом дапв змогу кіберзлочинцям замінити NS-адреси для кожного домена на нові виду ns1.ім'я домена.ru та ns2.ім'я домена.ru.

Деякі провайдери вже відреагували на ситуацію, не тільки сповістивши своїх клієнтів про проблему, але й закривши трафик із зазначених проксі-серверів.

Хостинг-провайдер Net Angels повідомляє про масове "викрадення" доменів зони .RU, зареєстрованих через реєстратора RU-CENTER. З 3 по 6 червня невідомі зловмисники отримали контроль над декількома сотнями доменов.

Серед клієнтів Net Angels постраждали лише декілька десятків осіб, а от від кожного з великих провайдерів подібним чином щодоби "витікають" десятки доменів - ця інформація підтверджується через сервіс stat.nic.ru. Таким чином, очевидно, що загальний рахунок іде на сотні.

Провайдер описує й схему, якою користуються кіберзлочинці (аналогічна процедура масового "викрадення" доменів була не раз докладно описана в інтернеті, але цей випадок трохи відрізняється). Спочатку зловмисники знаходять домени, зареєстровані на електронні адреси на mail.ru і bk.ru. Потім з отриманого списку вибираються невикористовувані й звільнені адреси, після чого злочинці реєструють ящики, що звільнилися, на себе й запитують відновлення пароля на сайті nic.ru.

Одержавши доступ до управління доменом, кіберзлочинці заміняють NS-адреси для кожного домена на нові виду ns1.ім'я домена.ru і ns2.ім'я домена.ru. Причому обидва сервери вказують на IP-адреси в під мережі 62.122.75.0/24. Саме за цими ознаками можна ідентифікувати "захоплені" домени.

Ключовою відмінністю зазначеної схеми є те, що NS-адреси зловмисників спочатку перенаправляють запити до реальних серверів хостинг-провайдера, а тому власник домена може взагалі не помітити, що відбулося щось не те. Надалі ж у будь-який момент весь трафик із усіх "захоплених" доменів може бути переадресований на сайти зловмисників.

Деякі провайдери вже відреагували на ситуацію, не тільки сповістивши своїх клієнтів про проблему, але й закривши трафик із зазначених проксі-серверів, щоб не допустити витоку логінів і паролів відвідувачів і адміністраторів сайтів, які постраждали.

Слід зазначити, що про крадіжку в буквальному значенні цього слова тут не йдеться - домены залишаються зареєстрованими на своїх справжніх власників, оскільки для передачі домена іншій особі потрібна паперова заява.

Нагадаємо, у квітні хакери заволоділи парольною системою Gaia, що контролює доступ мільйонів користувачів до майже всіх веб-сервісів компанії Google. Після злому компанія внесла значні зміни до системи безпеки.

Новини

ok