Biztonsági cégek weboldalai estek el egy támadásban

Egy hacktivista csoport által kezdeményezett támadás miatt a WhatsApp szolgáltatás, valamint egyes biztonsági cégek weboldalai is furcsán kezdtek viselkedni.
 

Egy hacktivista csoport az elmúlt napban meglehetősen komoly célpontokat szemelt ki magának, amivel hamar felhívta magára a figyelmet. Az akciója igencsak látványosra sikerült, ami azon felhasználók számára okozhatott meglepetést, akik például a WhatsApp, az AVG vagy az Avira nemzetközi oldalait akarták megtekinteni. Ekkor ugyanis nem a mobil üzenetküldő szolgáltatás weblapja vagy az említett két biztonsági cég webhelye jelent meg, hanem egy átirányítás történt egy palesztin weboldalra. (Az eset érintette még az Alexa és a Redtube oldalait is.)

Az eddigi vizsgálatok és információk szerint ez esetben nem az érintett weboldalak közvetlen meghackelésére került sor, vagyis a támadók nem a weblapokat, illetve a webszervereket törték fel. Ehelyett egy névkiszolgáló szerverhez fértek hozzá, majd az azon található DNS-bejegyzések manipulálásával érték el a céljukat, és hajtották végre a nemkívánatos átirányításokat. A vizsgálatok kimutatták, hogy a fentiekben említett három cég domain kiszolgálását a Network Solutions nevű szolgáltató végzi, és e szolgáltató rendszere esett áldozatául a támadóknak. Ez persze az érintett vállalatokat még nem vigasztalja, hiszen az incidens az ő hírnevükön is csorbát ejtett.

"Az világos, hogy az eset kínos a biztonsági cégekre nézve, de semmiféle bizonyíték nincs arra vonatkozóan, hogy felhasználói vagy egyéb érzékeny adatok sérültek volna. Valószínűleg a hackerek a weboldalakhoz tartozó DNS-rekordokat módosították, és ilyen módon irányították át a látogatókat egy másik IP-címre" - vélekedett Graham Cluley, a Sophos biztonsági szakértője.

Nyilatkoztak az érintettek

„A DNS-szolgáltató kompromittálásának következtében az AVG egyes online felületeit manipulálták. Úgy tűnik, hogy számos más vállalat is hasonló módon célkeresztbe került. A helyzetet monitoroztuk és értékeltük. Az ügyfeleink prioritást élveznek, és keményen dolgozunk azon, hogy helyreállítsuk a szolgáltatásaink normál működését" - nyilatkozta az AVG szóvivője.

„Kedden egy jelentős biztonsági esemény történt a DNS-szolgáltatónknál. Úgy tűnik, hogy az Avira és más vállalatok weboldalai is kompromittálódtak egy magát KDMS-nek nevező csoport ténykedésének következtében. Az Avira weboldalát nem törték fel, a támadás a Network Solutions internetszolgáltatónál következett be" – erősítette meg a híreket az Avira szóvivője. A biztonsági cég vizsgálatai szerint a Network Solutions egy hamis jelszótörlési kérelmet kapott, amit valamiért el is fogadott. Ezután a támadók át tudták venni az irányítást a DNS-rekordok kezelésére szolgáló fiók felett. Az Avira hangsúlyozta, hogy a belső hálózata, az ügyféladatok, illetve a víruskeresők frissítését kiszolgáló szerverek sem sérültek.