Хакеры "угнали" сотни доменов из зоны .RU / Публикации на Sec.Ru

Каталог

Публикации

Форум

Семинары

Все разделы

Регистрация

Авторизация

Принципы построения БИРП

Системы видеонаблюдения на объектах с экстремальными условиями

Видеодетекторы – пять лет спустя (часть пятая)

Цифровое объемное телевидение. Как оно работает.

Искать:

Отраслевые СМИ

Последние новости

02.09.10	Получите пригласительный билет на выставку «Охрана, безопасность, противопожарная защита»

02.09.10	Комплексный подход к решению задач по обеспечению безопасности

02.09.10	Новый считыватель «КОДОС RDM-10»: мультиформатный, надежный, эргономичный

02.09.10	КОДОС дополнил систему видеонблюдения в офисе TELE-2

02.09.10	Миниатюрная IP-видеокамера Brickcom CB-100Ae-08(VGA)

02.09.10	Гибридные видеорегистраторы DS-9004/9008/9016HFI-S от Hikvision: многофункциональность, уникальность, удобство

02.09.10	Люди, по мнению специалистов, могут гибнуть в воде от утечки электричества

02.09.10	Казань станет самым быстрым интернет-городом России

02.09.10	В Японии создали светодиоды рекордной эффективности

01.09.10	Новые компактные купольные видеокамеры Cisco 5000 «день/ночь» с HD1080p при 30 к/с

Архив публикаций >>

Публикация от 08-06-2010 14:13

Хакеры "угнали" сотни доменов из зоны .RU

Хостинг-провайдер Net Angels сообщает о массовом "угоне" доменов зоны .RU, зарегистрированных через регистратора RU-CENTER. С 3 по 6 июня неизвестные злоумышленники получили контроль над несколькими сотнями доменов.

Из числа клиентов Net Angels пострадало лишь несколько десятков человек, а вот от каждого из более крупных провайдеров подобным образом ежесуточно "утекают" десятки доменов - эта информация подтверждается через сервис stat.nic.ru. Таким образом, очевидно, что общий счет идет на сотни.

Провайдер описывает и схему, которой пользуются киберпреступники (аналогичная процедура массового "угона" доменов была не раз подробно описана в Интернете, но данный случай несколько отличается). Для начала злоумышленники находят домены, зарегистрированные на электронные адреса на mail.ru и bk.ru. Затем из полученного списка выбираются неиспользуемые и освобожденные адреса, после чего преступники регистрируют освободившиеся ящики на себя и запрашивают восстановление пароля на сайте nic.ru.

Получив доступ к управлению доменом, киберпреступники заменяют NS-адреса для каждого домена на новые вида ns1.имядомена.ru и ns2.имядомена.ru. Причем, оба сервера указывают на IP-адреса в подсети 62.122.75.0/24. Именно по этим признакам можно идентифицировать "захваченные" домены.

Ключевым отличием данной схемы является то, что NS-адреса злоумышленников для начала перенаправляют запросы к реальным серверам хостинг-провайдера, а потому владелец домена может вообще не заметить, что произошло неладное. В дальнейшем же в любой произвольный момент весь трафик со всех "захваченных" доменов может быть переадресован на сайты злоумышленников.

Некоторые провайдеры уже отреагировали на ситуацию, не только известив своих клиентов о проблеме, но и закрыв трафик с указанных прокси-серверов, чтобы не допустить утечки логинов и паролей посетителей и администраторов пострадавших сайтов.

Стоит отметить, что речи о краже в буквальном смысле этого слова здесь не идет - домены остаются зарегистрированными на своих настоящих владельцев, поскольку для передачи домена другому лицу требуется бумажное заявление.

Напомним, в апреле хакеры заполучили парольную систему Gaia, контролирующую доступ миллионов пользователей к почти всем веб-сервисам компании Google. После взлома компания внесла значительные изменения в систему безопасности.

Подписаться >>
Послать другу >>
Версия для печати >>