Крупный регистратор Gandi.net, существующий с начала 2000-х годов, сообщил о серьезном инциденте. Согласно официальному заявлению, 7 июля 2017 года неизвестные лица сумели получить доступ к сети одного из партнеров компании, после чего осуществили подмену серверов доменных имен для 751 домена, перенаправив трафик на вредоносные сайты.

Каким образом атакующие проникли в сеть компании-партнера Gandi и сумели заполучить учетные данные, необходимые для реализации атаки, не уточняется, но можно предположить, что дело не обошлось без социальной инженерии. Название скомпрометированной компании не раскрывается, но известно, что она занималась управлением доменами верхнего уровня в 34 зонах, включая .asia, .au, .ch, .jp и .se.

Подмену серверов доменных имен заметили спустя четыре часа после совершения атаки. Еще час понадобился специалистам Gandi, чтобы разобраться в проблеме, сменить все логины и пароли и начать отменять внесенные злоумышленниками изменения. Суммарно этот процесс занял еще три с половиной часа. В итоге, учитывая задержки в обновлении DNS, множество доменов отправляли пользователей на вредоносные сайты на протяжении 8-11 часов.

Специалисты  швейцарской ИБ-компании SCRT, которую тоже затронула данная атака, опубликовали собственный отчет о случившемся. Согласно их данным, во время атаки переадресации также подвергалась и вся почта, но, к счастью, злоумышленники не поднимали собственные email-серверы для ее перехвата.

Представители Gandi извинились перед всеми пострадавшими и сообщили, что теперь в компании проводится аудит безопасности, а также уже были предприняты меры для защиты от подобных атак в будущем.

Напомню, что это не первая атака на этой неделе, связанная с серверами доменных имен. Ранее исследователь Мэтью Брайант (Matthew Bryant) сумел перевести под свой контроль полномочные серверы доменных имен, которые по ошибке оказались доступны для регистрации. В результате специалист «захватил» более 270 000 доменов в зоне .io.

Оставить мнение