Noticias

Google.ro y otros dominios RO son víctima de un posible ataque de secuestro de DNS

Hoy, Softpedia ha informado que un hacker de Argelia que opera con el sobrenombre MCA-CRB ha alterado los sitios web rumanos de Google (google.ro) y Yahoo! (yahoo.ro).

Captura de pantalla del dominio Google.ro alterado
Fuimos un poco escépticos cuando nos enteramos de este incidente. Es cierto que, en teoría, un sitio web tan grande como Google puede alterarse, pero es muy improbable. Notamos que ambos dominios tienen una dirección IP ubicada en Holanda: 95.128.3.172 (server1.joomlapartner.nl), así que parece un ataque de envenenamiento de DNS.

Lo que todavía no se sabe es dónde exactamente ocurrió el ataque de envenenamiento de DNS. Hay varias posibilidades:

  • RoTLD (el Registro de Alto Nivel de Dominios Rumanos) sufrió un ataque informático que permitió que el atacante accediera a la configuración de todos los dominios DNS .ro. No todos los dominios .ro fueron afectados, así que es improbable que esto sea lo que haya pasado.
  • Se comprometieron las cuentas de RoTLD de Google y Yahoo, lo que permitió que el atacante cambiara sus configuraciones de DNS. Esto también es poco probable, ya que descubrimos que no sólo las cuentas de Google y Yahoo están comprometidas, sino también las de Paypal, Microsoft y otras empresas.
  • Por ahora, nos inclinamos por la posibilidad de que sea un ataque de envenenamiento de DNS que está ocurriendo en los servidores de Internet de Rumania. Algunos dominios se redirigen, otros no.

La situación podría haber sido mucho peor si el atacante hubiese tenido otros propósitos mayores que ganar fama al alterar sitios web famosos. Imagina cuántas cuentas podrían haberse comprometido esta mañana si estos sitios web hubiesen redirigido a páginas phishing en vez de a una página alterada.

Ahora estamos analizando todos los dominios .RO para determinar la extensión de este ataque.

Actualizaremos esta entrada con la nueva información que encontremos.

ACTUALIZACIÓN Hemos evaluado varios servidores DNS buscando el ataque de envenenamiento y, por ahora, los únicos que responden con la entrada secuestrada son 8.8.8.8 y 8.8.4.4 (servidores públicos DNS de Google). No hemos logrado identificar ningún otro servidor DNS rumano con este comportamiento.

ACTUALIZACIÓN 2 tú mismo puedes probar el ataque de envenenamiento DNS usando dig: dig @8.8.8.8 google.ro o dig @8.8.4.4 google.ro

ACTUALIZACIÓN 3 según nuestro sistema de vigilancia, los servidores DNS de Google en 8.8.8.8 ya no entregan respuestas envenenadas. Los otros servidores DNS de Google en 8.8.4.4 siguen redirigiendo a los usuarios a la dirección IP del atacante. Asumimos que Google está arreglando los registros secuestrados mientras escribimos esto.

ACTUALIZACIÓN 4 Parece que el problema con el dominio Google.ro se ha arreglado alrededor de las 13:00 GMT +2 (hora de Rumania) en ambos servidores DNS (8.8.8.8 y 8.8.4.4). Los problemas en otros dominios, como Paypal.ro, todavía no se han solucionado.

208194033

ACTUALIZACIÓN 5 después de analizar la última evidencia, parece que la explicación más probable para el incidente de secuestro/envenenamiento de DNS de hoy sea que el Registro de Alto Nivel de Dominios Rumanos (RoTLD) está comprometido. A principios de este mes se vio un incidente similar en el Registro de Dominios de Irlanda (IEDR). Puedes ver la declaración de IEDR aquí . RoTLD todavía no ha publicado ninguna declaración.
La lista completa de dominios .RO afectados por el incidente de hoy:

  • google.ro
  • yahoo.ro
  • microsoft.ro
  • paypal.ro
  • kaspersky.ro
  • windows.ro
  • hotmail.ro

Seguiremos monitorizando la situación.

Google.ro y otros dominios RO son víctima de un posible ataque de secuestro de DNS

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada