Dziwna historia przydarzyła się we wtorek internautom w Irlandii. Przez krótki czas nie mogli oni otworzyć ani strony Google.ie, ani Yahoo.ie. Włamywacz dostał się do systemu zarządzania domenami .ie i przekierował te dwa adresy na serwer w Indonezji.
Wszystko zaczęło się od zgłoszeń użytkowników, którzy nie mogli otworzyć strony Google.ie. Okazało się, że zamiast wskazywać na serwery DNS zarządzane przez Googla, wpisy tej domeny zostały zamienione na ns1.farahatz.net oraz ns2.farahatz.net. Przez około godzinę cały ruch do serwerów Google.ie (oraz jak się później okazało także Yahoo.ie) kierowany był do tajemniczego serwera w Indonezji.
Błąd czy włamanie?
Początkowo podejrzewano, że może być to błąd w konfiguracji serwerów, jednak komunikat, który pojawił się na stronie organizacji zarządzającej domenami .ie nie pozostawił wątpliwości – zmiana była wynikiem incydentu bezpieczeństwa. Zgodnie z komunikatem nieznany włamywacz uzyskał nieautoryzowany dostęp do konta, które umożliwiło mu zmianę serwerów DNS dla dwóch domen. Krótko potem okazało się, że włamywacz prawdopodobnie wyłudził dane niezbędne do zalogowania się na konto w irlandzkim rejestrze domen należące do firmy MarkMonitor , zarządzającej domenami wielkich firm. MarkMonitor wskazał na słabe procedury bezpieczeństwa irlandzkiego rejestru domen jako na powód włamania.
Kto był włamywaczem?
Kto dokonał włamania i w jakim celu? Odpowiedź na to pytanie przyniósł dopiero artykuł z serwisu technology.ie, który opublikował zrzut ekranu strony Google.ie w trakcie incydentu.
Fałszywa strona Google.ie
Krótkie zapytanie do Google pozwala ustalić, że Hmei7 to jeden z bardziej „płodnych” włamywaczy. Jego profil w serwisie Zone-h pokazuje ponad 100 tysięcy podmienionych stron www, z czego ponad 3 tysiące stron rządowych lub dużych korporacji. Analiza zgłoszeń z 9 października dodatkowo wskazuje, że oprócz Google.ie i Yahoo.ie podmienione zostały także wpisy domeny Microsoft.ie. Co ciekawe, firma MarkMonitor zarządza również domenami eBay czy Paypal, brak jednak informacji, czy one również padły ofiarą włamywacza.
Wtorkowe wydarzenia (a także wcześniejsze ataki na 4chan oraz na stację PBS) pokazują, jak najlepsza nawet ochrona serwisu www nie zawsze jest wystarczająca, a kreatywny włamywacz może znaleźć sposób, by „włamać się” nawet na strony największych korporacji.
