Сервис электронных платежей CheckFree во вторник потерял контроль над, по
меньшей мере, двумя своими доменами в результате атаки, проведенной известной
преступной группой из Восточной Европы.
Первым проблему обнаружил один из посетителей ресурса, после того, как
наткнулся на поддельный сертификат безопасности SSL, полученный им при попытке
соединения с доменом Mycheckfree. Для того, чтобы подтвердить свои опасения,
связанные с возможностью несанкционированной переадресации запросов, он посетил
еще один аналогичный сайт, находящийся в другой части Соединенных Штатов.
Полученный им результат оказался идентичным первому.
Эксперты в области безопасности пояснили, что IP-адрес 91.203.92.63 хорошо
известен специалистам в связи со своей принадлежностью к деятельности
киберпреступников. Так, этот адрес присутствует в списке вредоносных веб-адресов
компании Spamhaus, а аналитикам Trend Micro он знаком из-за своей причастности к
распространению инфицированного документа PDF.
Согласно сведениям bfk.de, Spamhaus и SpyNoMore, на данный IP-адрес ссылаются
и другие ресурсы, в числе которых находятся phgainc.org, brachetti.com и
camouflageclothingonline.net. До сих пор не удалось прояснить ситуацию по поводу
того, каким именно образом злоумышленникам удалось скомпрометировать эти домены.
Специалисты говорят, что речь может идти как об отравлении кэша DNS, так и об
уязвимостях в системе управления доменами у регистратора. Впрочем, последние
запросы whois свидетельствуют о том, что еще во вторник ресурсы были обновлены.