Provedor de hospedagem LeaseWeb é vítima de seqüestro de DNS
Tweet

Sexta, 19th Fevereiro, 2016
13:39pm

Provedor de hospedagem LeaseWeb se tornou a mais recente empresa de alto perfil a ter o seu nome de domínio tomado por atacantes, destacando que o DNS (Domain Name System) hijacking é uma ameaça significativa, mesmo que tecnicamente as empresas adeptos.

Por um curto período de tempo no sábado, leaseweb.com, site principal da empresa, foi redirecionado para um endereço IP que não estava sob seu controle. Este foi o resultado de um assim chamado ataque de sequestro de DNS em que os atacantes conseguiram mudar os servidores de nomes autorizados para nome de domínio da empresa.

Devido à forma como os registros de DNS se propagam através de servidores de Internet e o fato de que alguns resolvedores DNS cache os registros para um tempo mais longo do que os outros, nem todos os usuários foram afetados pelo incidente.

No entanto, os usuários que foram impactados e tentaram visitar o site da empresa foram redireccionados para uma página da Web creditando um grupo de hackers chamado KDMs equipa para o ataque.

A página desonestos continha mensagens dos hackers, incluindo "O que você é uma empresa de hospedagem sem segurança" e "nós possuímos todos os seus sites hospedados."

"Nossa investigação de segurança até agora mostra que há outros que leaseweb.com domínios foram acessados e alterados", disse LeaseWeb em um post domingo, depois de resolver a questão. "Não há sistemas internos foram comprometidos. Uma das medidas de segurança que temos no lugar é para armazenar os dados do cliente em separado de quaisquer servidores de acesso público; nós não temos nenhuma indicação de que os dados do cliente foi comprometida, como resultado deste sequestro de DNS. "

LeaseWeb é um grande fornecedor de nuvem pública, nuvem privada, hosting dedicado, colocation e serviços de entrega de conteúdo, com filiais em os EUA, Alemanha e Holanda.

Ele tem mais de 15.000 clientes que vão desde pequenas empresas a grandes empresas e reivindicações para gerir quase 4 por cento do tráfego IP global.

A mensagem dos hackers.

Bem, isso é embaraçoso

LeaseWeb ainda está investigando como os atacantes conseguiram alterar os registros de DNS para seu nome de domínio, mas parece que eles ganharam acesso à senha de administrador de domínio no registro de domínio a partir do qual LeaseWeb comprou seu domínio.

Spear phishing poderia ter sido uma parte do ataque, mas neste momento a investigação está em curso por isso não há resposta definitiva, Alex de Joode, consultor jurídico sênior de LeaseWeb, disse segunda-feira por e-mail.

Por causa deste ataque, e-mails enviados para @ leaseweb.com endereços enquanto os registros de DNS desonestos estavam no local não chegaram a servidor de e-mail da empresa. O servidor Web desonestos onde o domínio foi apontado pelos atacantes não têm serviço de e-mail configurado, portanto, não há mensagens de e-mail foram comprometidos, disse de Joode.

Também não há indicação de que a página da Web desonestos servido malware ou foi usado para roubar credenciais, disse ele.

Tem havido alguma especulação de que os atacantes poderiam ter explorado uma vulnerabilidade recentemente divulgado no faturamento e suporte de software WHMCSpara retirar o ataque. Este software é particularmente popular entre as empresas de hospedagem web.

O próprio LeaseWeb não usa WHMCS, mas a empresa não sabe se o software é usado pelo seu registro de domínio, disse de Joode.

"Nós tomamos medidas imediatas para evitar a repetição do incidente no curto prazo", disse ele. "Também vamos atualizar nossas políticas de segurança para domínios com base nos resultados do inquérito em curso."

Desfigurar sites sequestrando os registros de DNS para seus nomes de domínio, a fim de redirecioná-los para servidores Web desonestos é uma técnica popular entre os hackers. Atacantes geralmente ganham acesso ao painel de administrador do domínio de phishing as credenciais de log-in de um usuário autorizado ou por enganar os funcionários registro de domínios para redefinir a senha para a conta de destino.

Em agosto, um grupo de hackers chamado Exército Eletrônico Sírio (SEA) usado spear phishing para seqüestrar temporariamente os nytimes.com, sharethis.com, huffingtonpost.co.uk, twitter.co.uk e twimg.com nomes de domínio. SEA apóia publicamente o presidente sírio, Bashar al-Assad e seu governo ea maioria de seus ataques são uma indicação política.

LeaseWeb não faz atualmente sabe por que ele foi alvejado pela equipe KDMs, de Joode disse.

seqüestro de DNS pode ter consequências muito mais graves do que um Web site que está sendo desfigurado. Atacantes poderiam usar esta técnica para direcionar os usuários para uma versão phishing do site, a fim de roubar suas credenciais ou poderiam utilizar explorar kits para infectar os visitantes para o servidor Web ladino com malware.

Para impedir a modificação não autorizado dos proprietários do domínio registros DNS podem pedir aos seus registradores para colocar bloqueios de registro no lugar para seus domínios. Esse bloqueio é colocado no nível com o registro as empresas que administram o .com, .net, .org, e outras extensões de domínio e faz a modificação de registros de DNS, mesmo quando um registro de domínio está comprometido, muito mais difícil.

« Retornar