0:46
28/8/2013

Podobnie jak w przypadku wczorajszego ataku na Google, powodem dzisiejszej niedostępności serwisu Twitter, NY Times oraz Huffington Post było przejęcie DNS-ów. Do ataku przyznała się Syryjska Armia Elektroniczna (SEA) “hacktywiści” popierający Bashara al-Assada.

Twitter & NYTimes — porwanie DNS-ów i przekierowanie domen

Atakujący w niewyjaśniony dotąd sposób uzyskali kontrolę nad kontami rejestratora domen Twittera oraz NY Times (mogli odgadnąć hasła dostępowe, albo wykorzystać błąd w webaplikacji służącej do zarządzania domenami). Podmieniono wpisy dotyczące serwerów DNS dla tych domen, podając IP serwerów DNS kontrolowanych przez atakujących. Serwery te przekierowały użytkowników na strony WWW podstawione przez SEA.

Deface strony NYTImes.com

Deface strony NYTImes.com

Ofiarą padły DNS-y, gdyż zapewne w samych serwisach SEA nie było w stanie znaleźć żadnych błędów, a pracownicy — zarówno Twittera jak i NY Times przestali się nabierać na ataki spear phishng, tak chętnie przez SEA stosowane.

Widok Twittera w trakcie przejęcia domeny twitterowej składnicy grafik

Widok Twittera w trakcie przejęcia domeny twitterowej składnicy grafik (fot. Radek Zaleski)

W ogólności, do takiego stanu rzeczy jaki obserwujemy mogą prowadzić ataki na DNS-y, które można przeprowadzić na 3 sposoby:

  • Cache poisoning — zatruwanie pamięci cache rekrusywnych serwerów DNS (te z reguły znajdują się najbliżej internautów)
  • Włamanie na serwer DNS (autorytatywny dla danej domeny) — i nadpisanie utrzymywanej na tymże serwerze strefy DNS ofiary swoimi wpisami
  • Włamanie na konto registrara, z którego zarejestrowano domenę — i zmiana rekordu NS dla danej domeny. Tu możliwości są dwie: odgadnąć hasło do konta lub wykorzystać błąd w webinterfejsie serwisu WWW registrara.

W przypadku dzisiejszego ataku, SEA skorzystało z trzeciej opcji, uzyskując kontrolę nad kontami Twittera i NY Timesa u registrara o nazwie MelbourneIT — tak przynajmniej twierdzi przedstawiciel Dyn, firmy która utrzymuje oryginalne serwery DNS wykorzystywane przez Twittera.

Warto tu podkreślić, że jedyne ryzyko jakie płynie dla użytkowników tych serwisów z tego typu ataku to: możliwość infekcji poprzez drive-by-download (por. podmienione strony w sieci TOR infekują odwiedzających) lub wyciek danych z ciasteczek użytkowników — przeglądarka wysyła je w trakcie ataku DNS hijacking na obcy serwer.

Analiza techniczna

Oryginalne serwery DNS dla domeny nytimes.com zostały podmienione na:

Fałszywe DNS NYTimes

Fałszywe DNS NYTimes

Z kolei w przypadku Twittera podmieniono nie tylko rekordy NS, ale także dane w WHOIS:

Podmienione wpisy dot. domeny Twittera

Podmienione wpisy dot. domeny Twittera

subdomeny stworzone przez SEA na przejętych domenach

subdomeny stworzone przez SEA na przejętych domenach

Przeczytaj także:

36 komentarzy

Dodaj komentarz
  1. wczoraj google, dzisiaj twitter… jutro agencja towarzyska

    • Czyżby była to reakcja na wypowiedz czar…Obamy?

  2. czy oby to nie robota rzadu USA by amerykanie znienawidzili syryjczykow oby publika czyli obywatele byli przychylni bombardowaniu syrii i kradziezy surowcow?

    • Dobrze, że są jeszcze trzeźwo myślący ludzie, bo amerykańskie pranie mózgów leje się z mediów niczym Ganges.

    • lol

    • zgadzam się z tą tezą.

  3. Obydwie zarejestrowane na http://www.melbourneit.com ;>

  4. Dziwi mnie że na deface-owych stronach nie napisali nic o sytuacji w Syrii :)

  5. SEA sobie tak po prostu hackuje czy jest w jakiś sposób związana z którąś ze stron konfliktu w Syrii?

    • Wiele krajów “bloku zachodniego” stwierdziło iż będą interweniowaç w Syrii po ostatnim użẏciu broni chemicznej (przez rebeliantów). “Blok zachodni” stoi po stronie rebeliantów.

    • darkestkhan: nie wiedzialem ze rebelianci maja bron chemiczna. myslalem ze to rezim assada ich zaatakowal. czy moze sie myle ?

    • Obama zapowiedział parę miesięcy temu, że nie podejmie żadnych działań militarnych wspierających rebeliantów, chyba, że okaże się, że ma broń chemiczną. Wyglądało to jak zagrywka obliczona na uniknięcie angażowania się USA w Syrii, więc pewnie bazował na informacji z wywiadu. I nagle ni z tego, ni z owego okazuje się, że wobec rebeliantów użyto broni chemicznej… Nie zdziwiłbym się gdyby cała ta heca z gazem była zagrywką rebeliantów albo organizacji, które ich wspierają. Assad chyba nie byłby tak głupi

    • Nie ma żadnej broni chemicznej (jak i nie było jej w Iraku). Chodzi tylko i wyłącznie o pretekst (te ‘hacki’ są częścią kampanii anty Assadowej) do interwencji zbrojnej. Interwencja ma na celu obalenie Asada bo koleś za dużo ropy chce dla siebie, może nawet całość (błąd popełniany już przez wielu w tamtym regionie).
      Cała ta papka o obronie cywili jest dla tępych mas. Dziwne, że od lat nikt nie interweniuje w Korei Północnej. Poza tym, kto jeszcze (prócz wspomnianych mas) jest na tyle naiwny by wierzyć, że życie ludzkie jest najcenniejsze (pytanie retoryczne).

      Tak więc losy Asada są już policzone, mógł się nie stawiać i rządzić krajem 50 lat. Niestety był zbyt pazerny i skończy marnie.

    • no tak niby prowokacja rebeliantow (GB+USA+etc…) ale skad maja sarin w takich ilosciach ? z drugiej strony barylka ropy podskoczyla na gieldzie. dolar i zloto tez. dla gospodarki dobrze. ale usa chyba juz dostalo w dupe kilka razy i raczej nie zabiora sie za kolejna wojne. bo raczej wtedy wszystko tam pusci: iran, izralel, palestyna…

    • Skąd tyle broni chemicznej? Myślę, że znalezienie na Bliskim Wschodzie zamożnego sponsora dla armii walczącej z władyką który utrzymuje rządy świeckie nie przedstawia większych trudności :-)

    • @Marek bo USA nie chcą kosztów wojny (prawdziwy koszt wojny w Iraku licząc koszty odszkodowań dla poległych żołnierzy i leczenia weteranów obliczono na 4 biliony $, interwencja w Afganistanie także na pewno tania nie będzie, choć ostatecznie Talibowie dogadają się z afgańskim rządem) i fali emigracji z Syrii wprawdzie w większości nie do USA, ale do państw sojuszniczych (w tym europejskich), a stamtąd ludzie przywykli do niesłychanych zbrodni mogą już być groźni dla USA i sojuszników (mogą być członkami Al.-Kaidy lub luźnych grup terrorystycznych). Sojusznicy USA chcą raczej postraszyć Assada (dyplomacja Tomahawków) i utwierdzić go w przekonaniu, iż przetrwa jeśli zaniecha zabijania cywilów.

      PS
      Obie strony konfliktu maja gdzieś prawa człowieka i po zakończeniu wojny sądy (w tym trybunał w Hadze) będą miały masę pracy. Świat jest mały i wielu sprawców haniebnych czynów po obu stronach konfliktu, którzy liczyli na bezkarność zostanie jednak zidentyfikowanych.

    • Według depesz, które udostępniło Wikileaks w 2012 roku, USA szkoli od 2011 ekstremistów, na wyszkolonych rebeliantów-najemników, którzy mają wzbudzić wojnę domową w Syrii. Katar i Arabia Saudyjska wysyłają broń rebeliantom, bo chcą zmienić władzę w Syrii na taką, która pozwoli im poprowadzić ze złóż w Katarze i Arabii ropociąg przez Syrię, Turcję do Europy.

      http://www.zerohedge.com/news/2013-05-16/mystery-sponsor-weapons-and-money-syrian-rebels-revealed
      http://www.zerohedge.com/news/2013-08-27/meet-saudi-arabias-bandar-bin-sultan-puppetmaster-behind-syrian-war

    • W wyniki tej wywołanej przez Arabię Saudyjską, Katar i USA wojny domowej zginęło już ponad 100 000 osób.
      Syria z kolei jest państwem-marionetką Rosji, to Rosja nie chce przepuścić ropociągu przez Syrię do Europy, bo chce uniezależnionej od surowców rosyjskich Europy.
      Oczywiście piszę nazwy państw, ale trzeba pamiętać że to głowy tych państw, służby i grupy interesu tak działają, a nie cała ludność. Nie sądzę, by Syryjczycy gdyby byli niezależnym krajem, to nie przepuściliby tego ropociągu.

    • @fafafa
      Jeśli jest prawdą co podaje Wikileaks, to Rosja ma duży interes w tym, aby wojna w Syrii NIE wybuchła, bo w przeciwnym razie zostaną zdywersyfikowane źródła dostaw surowców energetycznych do europy.

    • Opinia publiczna zapomniała, że w Syrii był już atak chemiczny i (a jakże) amerykańce i połowa Europy huczeli do wszystkich sitek, że to wina Assada i że z całą pewnością da się to empirycznie udowodnić. Kiedy pani śledcza inspektor ONZ Carla del Ponte pojechała na miejsce i stwierdziła, że sarinu użyli rebelianci, nagle ONZ się wypięło, wszyscy się rozeszli po kątach i oficjalnie stwierdzono, że w tej sytuacji nie można stwierdzić kto użył gazu :D
      Ten cały cyrk przypomina skecz Monty Pythona gdyby nie fakt, że jest równie groteskowy co tragiczny. Paradoksalnie jeśli którakolwiek ze stron w Syrii wygra – będzie to niekorzystne dla USA, Assad (wspierany militarnie przez Rosję) doi USA na ogromną kasę za utrzymanie traktatów pokojowych z Izraelem (który właśnie rozdaje maski gazowe), a rebelianci to głównie nieprzychylni USA sunniccy ekstremiści z Al-Quedą i innymi oszołomami na czele włącznie z kanibalami, wspierani przez amerykańskie specsłużby, które szmuglują tam wszelakiej maści muzułmańskich najemników i zrzucają paczki z “pomocą humanitarną”. Dlatego USA oficjalnie nie staje po żadnej stronie i nie chce obalić Assada, bo jedyne co jest w ich interesie to podtrzymywać konflikt, żeby wszyscy wzajemnie wycieli się do ostatniej nogi. Podobnie jest w Iraku i Afganistanie, w którym Pentagon finansuje Al-Quedę sowitymi kontraktami (raport Sopko), przy okazji budując bazy wojskowe za dziesiątki milionów $ owinięte świeżą folią, których nigdy nie użyje i które sama rozwali ku uciesze przemysłu zbrojeniowego, czyli amerykański Miś za 34M $.
      Obecną polityczną schizofrenię USA i UK dobrze obrazuje ciekawy autodialog jednego z bloggerów.
      http://www.newyorker.com/online/blogs/comment/2013/08/the-debate-over-intervention-in-syria.html
      Podobny cyrk Departamentu Stanu odnośnie Egiptu
      http://www.youtube.com/watch?v=e6s2TqYCTwU
      A tu macie odpowiedź generała Wesleya Clark’a , o co tu naprawdę chodzi:
      http://www.youtube.com/watch?v=pyEJ6Aja-UQ

      PS, na głównej NYT jest info o śmierci Mrożka.

  6. SEA wspiera Assada

  7. Wspierają al-Assada.

  8. Nie jestem taki pewny czy jedynym niebezpieczeństwem jest drive-by czy wyciek ciasteczek. Przy użyciu choćby manifestu html5 i zcachowaniu jakiegoś skryptu nie lecącego przez https dałoby się osiągnąć już nieco więcej. Atak jak atak, trzeba po nim posprzątać…

  9. Wyglada jak marna prowokacja mająca przygotować grunt propagandowy pod atak na Syrię.

    • Może nie pod atak na Syrię, ale wytworzyć określoną opinię na temat niebezpieczeństw jakie płyną ze strony Syrii.
      Ale czytając różne komentarze muszę przyznać, że świadomość młodych ludzi jest lepsza niż jeszcze rok temu. To już nie te czasy kiedy bydlątka łykały wszystko co im media zaserwowały. Ludzie zaczynają pomału przecierać oczy na amerykańską propagandę (rosyjską również).

  10. Twitter działa,
    Jak wszedłem na stronę Times’a to 404, ale downforeveryoneorjustme wykazuje coś innego:
    http://www.downforeveryoneorjustme.com/nytimes.com
    ;>

  11. Niewyjaśniony sposób. Wyjaśniony. System został stworzony przez ludzi to i inni ludzie mogą go złamać. Zawsze jest jakaś furtka wejścia. Wystarczy polecieć tokiem myślenia programistów i poszukać luk.
    Atak prosty – zachód oczernia Assada, żeby wejść do Syrii. A prawda jest taka, że to jest konflikt islamsko-islamski i zachodowi nic do tego.

    • @Wojtek
      To jest konflikt o ropę, Islam nie ma z tym nic wspólnego.
      A zachód wręcz przeciwnie, zresztą polecam post: “fafaf 2013.08.28 10:32”.

    • @Dev0
      Syria to jakiś marny promil wydobycia ropy na tle globalnym.
      To jest dobry pretekst, aby płacić 5,50zł za paliwo na stacjach paliw i nic więcej.
      I nie zapominajmy że ropę głównie importujemy od Rosji.

  12. A ja w ogóle nie wiem, dlaczego w Syrii jest taka wojna?

    • Rosjanom, Chińczykom, Iranowi i Hezbollah zależy na wsparciu reżimu Assada. Arabii, Emiratom, Jordanii i innym na wsparciu sunnickich rebeliantów. Amerykanom i UK na podtrzymywaniu ich wzajemnego konfliktu.

  13. W ciągu ostatnich 20 lat jakość opregramowania
    drastycznie spadła.
    Zwłaszcza że piszą je informatycy po dwutygodniowych kursach.
    Nawet w “wiodących” firmach.
    Więc nie ma się czemu dziwić.
    zrjn.

  14. XD co za walnięci ludzie czego chcą do Twittera i od Google. Ale ok. WOHIS zmienić to jest trochę porąbane.

  15. host -t NS nytimes.com
    nytimes.com name server ns1.syrianelectronicarmy.com.
    nytimes.com name server ns2.syrianelectronicarmy.com.
    Dobra robota :D

  16. A rosjanie wiedzą dlaczego nie powinni się mieszać w sprawy Syrii.
    Niech no Osa…Tfu!…Obama tylko wyśle tam wojsko, też się dowie, gorzej że spora część świata może na tym ucierpieć.
    Powino się zablokować im wszelkie połączenia z resztą świata, odizolować rejon i niech się sami tam wytłuką między sobą aż do ostatniej nogi a reszta niech tylko obserwuje z daleka i kibicuje ale nie zbliża się i nie wtrąca.

  17. […] podobnych przypadkach, ale w kontekście celowych ataków DNS hijacking pisaliśmy w artykułach dotyczących Syryjskej Armii Elektronicznej, która do mistrzostwa […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.