در هفتم ماه جولای، گاندی، شرکت فرانسوی ثبت دامنه کنترل ۷۵۱ دامنه ی کاربرانش را از دست داد. سابقه ی سامانه ی نام دامنه( DNS -ساناد) های این شرکت تغییر کرده است و به این صورت ترافیک ورودی به وبسایتی هدایت می‌شود که میزبان کیت اکسپلویت است.
دامنه ی ربوده شده تنها برای چند ساعت فعال بوده است: بین ساعت ۱۲:۵۰ UTC (ساعت هماهنگ جهانی) تا ساعت ۱۳:۳۰ UTC. گرچه DNS برخی از دامنه ها آرامتر منتشر شده است و تا ساعت ۱۸:۰۲ همچنان ترافیک کاربران را هدایت میکرده اند.

مهاجم یکی از پسورد های گاندی رادر اختیار داشته است
طبق گزارشی که جزئیات این حادثه را شرح داده است، کارکنان گاندی اظهار داشته اند که این حادثه به این علت امکان پذیر شده است که مهاجم یکی از پسورد های تهیه شده برای یکی از شرکای تکنیکیِ گاندی در اختیار داشته است.

اعتبارنامه ها و مجوز های در معرض خطر به کارکنان گاندی و دیگر سیستم های خودکار اجازه میدهد که به backend متصل شده و جزییات DNS را برای ۳۴ دامنه ی سطح بالا(TLD) مدیریت کنند. فهرست کامل دامنه های سطح بالایی که تحت تاثیر قرار گرفته اند عبارت است از:
.ASIA، .AT، .AU، .CAT، .CH، .CM، .CZ، .ES، .GR، .HK، .IM، .IT، .JP، .LA، .LI، .LT، .LV، .MG، .MS، .MU، .NL، .NU، .NZ، .PE، .PH، .PL، .RO، .RU، .SE، .SH، .SI، .SX، .UA، .XN–P1AI (.рф).

گاندی به طور یک دنده ای اظهار دارد که در خطر نفوذ و شکاف امنیتی نبوده است. گاندی همچنین شک دارد که شریک تنکیکی اش مقصر باشد.
” ما به شدت شک داریم که این پسورد ها از طریق یک اتصال ناامن به پرتال وب شریکمان به دست آمده باشد. پلتفرم وب مورد بحث اجازه ی دسترسی را تنها از طریق HTTP میسر میکند.”

ترافیک به کیت اکسپلویت هدایت شده است. ترافیک ایمیل جا مانده است
شرکت امنیت سایبری سوییسی، SCRT یکی از موارد تحت تاثیر قرار گرفته است که دامنه اش توسط مهاجم ربوده شده بود. طبق گزارش این شرکت، ترافیک این دامنه به کیت اکسپلویت هدایت شده است. دامنه ی ملی ثبت شده برای سوییس و لیختن اشتاین ترافیک را ربوده و به کیت اکسپلویت که Neutrino و RIGرا میزبانی میکند هدایت کرده است.

مهاجم (یا مهاجمان) همچنین DNS MX و SPF recordsایمیل را ربوده اند. SCRT و گاندی میگویند که مهاجم هرگز سروری را به منظور جلوگیری از انتقال پیام های ایمیل تنظظیم نکرده است. این حادثه ترافیک ورودی HTTPS را در خطر دامنه های تحت تاثیر قرار داده است.

به دنبال این اتفاق، گاندی تمام پسوردهایش را برای اکانت هایی که TLD entriesرا در کشور و ثبت کنندگان دامنه ی اختصایصی مدیریت میکنند، ریست کرده است.

هفته ی گذشته، یک پژوهشگر امنیتی دریافت که میتواند تمام دامنه های .IO را تنها با ثبت یک دامنه ی حساس .IO برباید.

در ماه آپریل، محققان امنیتیِ کسپرسکی فاش کردند که در ۲۲ اکتبر ۲۰۱۶، یک مهاجم ناشناس DNS recordsدامنه های یک بانک برزیلی را به منظور دزدیدنِ مجوزهای ورود کاربران ربوده بوده است.

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *