Atacul de ieri asupra infrastructurii DNS din România, încă neelucidat

Ieri dimineaţă, utilizatorii din România care au încercat să acceseze serviciile google.ro şi yahoo.ro au fost puşi în faţa unor pagini Web pe care nu le aşteptau. Pe lista domeniilor afectate s-au alăturat şi windows.ro, microsoft.ro, kaspersky.ro, hotmail.ro şi altele. După cum am explicat ieri dimineaţă, acesta atac nu a afectat în mod direct vreunul dintre serviciile atacate, ci indirect, prin împingerea către serverele DNS a unor informaţii false şi direcţionarea traficului Web către alte adrese IP decât cele reale.

Măsurile de contracarare a efectelor atacului au început să devină vizibile ieri în jurul prânzului, când informaţiile DNS corecte au fost împinse către restul serverelor care au primit şi servit mai departe clienţilor lor aceste date greşite. Atacul poarta semnătură unui hacker de origine algeriană care mai are la activ vreo 5000 de isprăvi similare. Până la această oră, nici Kaspersky şi nici BitDefender nu au descoperit vreo ameninţare virală care să fi fost servită de pagina către care utilizatorii au fost redirecţionaţi.

Chiar dacă această ultima veste este bună, un viitor atac similar ar putea trimite utilizatorii către pagini care pot conţine troieni sau care pot impersona paginile legitime ale căror înregistrări DNS au fost modificate. Iar dacă vreţi să daţi vina pe cineva, nici măcar atât nu puteţi face deoarece, după 24 de ore, încă nu este clar a cui a fost vina.

Conform scenariului Kaspersky, atacul s-a produs asupra serverelor DNS întreţinute de Google, cunoscute şi ca Google Public DNS. Este adevărat că acestea au fost printre cele mai importante servere DNS care au fost „otrăvite” şi că acestea nu folosesc DNSSEC, o formă de verificare a autorităţii serverelor care fac actualizări DNS în scopul de a bloca exact genul de atac despre care vorbim, însă acest scenariu este posibil dar improbabil. Dacă un atacator ar fi reuşit să treacă de securitatea serverelor Google, acesta nu s-ar fi mulţumit să atace doar servere aparţinând de domeniul .ro ci s-ar fi repezit către mult mai suculente domenii .com. Google afirmă că nici unul dintre serviciile lor nu a fost atacat direct şi tindem să-i credem

BitDefender propune un scenariu mult mai plauzibil, şi anume un atac asupra infrastructurii organizaţiei naţionale de înregistrare si administrate a domeniilor, RoTLD, care aparţine de ICI. Prin atacarea acesteia, cel mai probabil printr-o clasică injecţie SQL, atacatorul a obţinut acces la serviciile interne, inclusiv preţioasele înregistrări DNS.

În acest moment, aceasta este doar o supoziţie, dar ea este întărită de faptul că atacatorul s-a limitat strict la domenii .ro şi că RoTLD a resetat în ultimele 24 de ore parolele conturilor deţinătorilor de domenii. Din păcate, organizaţia nu a oferit nici o poziţie oficială şi nici nu şi-a avertizat utilizatorii despre apariţia unei probleme, însă trecerea la o măsură drastică precum resetarea parolelor este suficientă pentru a semnaliza o problemă.

România nu a fot singura ţară afectată în ultima vreme de astfel de atacuri În ultimele două săptămâni, atât Israelul cât şi Pakistanul au suferit atacuri similare iar poarta de intrare a fost similară – cea a infrastructurii operatorului TLD naţional din cele două ţări.