В воскресенье ночью несколько крупнейших сетевых ресурсов, среди которых Daily Telegraph, UPS, Betfair, Vodafone, National Geographic, Acer и Register, оказались подменены злоумышленниками, которым благодаря атаке на регистраторов доменов Netnames.co.uk и Ascio
удалось подменить записи в DNS. После атаки, домены жертв были
перенаправлены на новый IP, на котором выводилась заставка с
уведомлением о взломе, который был совершен турецкой группой Turk Guvenligi.

   Это первый в истории крупный взлом регистраторов, который повлек за
собой публично заметное изменение DNS. Насторожиться также заставляет
тот факт, что одновременно были взломаны сразу два различных
регистратора. Ранее встречались единичные случаи атак, связанных с
подменой параметров DNS на уровне регистраторов, но они как правило
списывались на утечку параметров авторизации владельцев доменов. Почти
сразу внесенные злоумышленниками изменения были отменены, но с учетом
инертности обновления DNS, многие посетители, использующие DNS-серверы
успевшие прокэшировать данные атакующих, могли лицезреть заявление о
взломе крупнейших и уважаемых сайтов, пострадавших по вине регистратора.

   Пользователям повезло, что атака была демонстративно проведена
ради развлечения. В случае проведения скрытой подмены сайта атакующие
имели возможность организовать сбор паролей и конфиденциальных данных.
Распознать такую атаку со стороны посетителя почти невозможно, так как
нет технологий, которые могли бы свидетельствовать о том, что замена IP
произведена злоумышленниками, а не администрацией ресурса. Находящиеся в
обиходе механизмы защиты базируются на имени домена и не учитывают
IP-адрес ресурса. Единственным и надежным способом остается HTTPS, при
котором при обращении к подставному домену будет выведено предупреждение
для скрытия которого атакующим требуется заполучить серверные
SSL-сертификаты.

   Взломанные регистраторы пока выдерживают тактику молчания, не подтвердив и не опровергнув сведения. Но посмотрев
через сервис Whois параметры фигурирующих в атаке доменов, видно, что
их параметры вчера были изменены одновременно. Представители группы Turk
Guvenligi также утверждают,
что в конце августа был осуществлен взлом корейского регистратора
Gabia.com, в результате которого удалось получить контроль над более 100
тыс. доменов и 350 тыс. пользовательских аккаунтов. В качестве
подтверждения факта взлома приводится скриншот внутреннего административного интерфейса Gabia.com.

  Кроме того, в анонимном интервью
изданию Guardian представители группы сообщили, что кроме
Netnames.co.uk и Ascio было взломано еще несколько регистраторов, имена
которых не называются. Объект атаки был выбран почти случайно —
атакующие задались целью показать возможность взлома крупнейших
ресурсов, выбрали несколько сайтов и начали их изучение. Вначале была
предпринята попытка прямой атаки и осуществлен поиск возможных
уязвимостей в web-движках жертв, но не найдя таких уязвимостей,
атакующие переключились на изучение возможности взлома регистраторов
доменов.

Карта сайта: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34