Internetové konzorcium konzorcia bolo napadnuté

Tento týždeň bolo napadnuté miesto konzorcia Internet Systems.

Návštevníci webu, ktorý vyvíja nástroje BIND DNS, OpenReg, ISC AFTR a ISC DHCP, sú vítaní správou, ktorá uvádza, že:

„Sme presvedčení, že webová stránka mohla byť infikovaná škodlivým softvérom. Skontrolujte, či na akomkoľvek počítači, ktorý nedávno navštívil tento web, sa nenašiel malware.

Konzorcium verí, že problém spočíva buď v systéme na správu obsahu, ktorý používa – WordPress – alebo v pridružených súboroch a doplnkoch.

ISC tvrdí, že ftp.isc.org, kb.isc.org a ďalšie sieťové zdroje nie sú ovplyvnené a že nedostala žiadne hlásenia, ktoré by naznačovali, že z jeho webovej stránky boli napadnuté všetky klientske počítače. Požiada však návštevníkov, aby upovedomili adresu [email protected], ak sa domnievajú, že na webe získali infekciu škodlivým softvérom..

Podľa spoločnosti Techworm útočníci za hackerom presmerovali návštevníkov na server ISC.org na inú webovú stránku, ktorá bola načítaná pomocou súpravy Angler Exploit, ktorú bezpečnostná spoločnosť Symantec zistila, že predstavuje závažné bezpečnostné riziko po zistení, okrem iného, ​​že by mohla využiť vadu vo formáte Flash prevziať kontrolu nad systémom cieľového používateľa.

Skutočnosť, že konzorcium bolo napadnuté takýmto spôsobom, je problémom vzhľadom na jeho úlohu pri vývoji a udržiavaní základných protokolov štruktúry internetu, ako aj prevádzkovania svetových koreňových serverov F, ktoré sú jadrom domény. názov systému.

Nepravidelní návštevníci webovej stránky ISC sa pravdepodobne budú podieľať na hardvérovom a softvérovom inžinierstve v organizáciách a rámcoch, ktoré sú kľúčové pre fungovanie internetu. Cielený útok proti takýmto operátorom preto pravdepodobne poskytne vysoko hodnotné informácie o systémoch a ľuďoch zodpovedným osobám.

Našťastie sa zdá, akoby root servery F zostali nedotknuté, prinajmenšom doteraz – Dan Mahoney, bezpečnostný dôstojník ISC, povedal The Register, že „služba a bezpečnosť sú úplne neovplyvnené hackerom“.

Webová stránka ISC prezentuje návštevníkom aktuálnu zástupnú stránku od 23. decembra, deň po tom, čo blogový príspevok spoločnosti Cyphort Labs upozornil na distribúciu škodlivého softvéru..

Spoločnosť uviedla, že návštevníci infikovaných stránok boli presmerovaní na tieto stránky a adresy IP:

  • snail0compilacion.localamatuergolf.com (5.196.41.3)
  • symbolology-rumperis.prairievillage.info (5.196.41.3)
  • zapalny.placerosemere-ideescadeaux.ca (95.211.226.158)
  • chambouler.mygiftback.com (5.196.41.3)

V rámci vyšetrovania kompromisu ISC analyzovala niekoľko zaujímavých súborov vrátane „class-wp-xmlrpc.php“, ktoré po spustení viedli k prihlasovaciemu rozhraniu pre útočníkov. Po zadaní „root“ hesla mal útočník prístup k rôznym ovládacím prvkom, ktoré mu umožňujú:

  • Otvorte škrupinu.
  • Odovzdajte a spustite súbory.
  • Čítanie a zápis súborov.
  • Vytvárajte súbory a adresáre.
  • Zoznam súborov.
  • Otvorte databázy SQL.
  • Vykonajte PHP kód.
  • Zabiť seba (odstrániť sám).
  • Zoznam bezpečnostných informácií servera vrátane používateľských účtov, nastavení účtu, verzií databázy, verzie php, serverového softvéru, jednotiek a dostupného priestoru.

V novembri bola ďalšia dôležitá internetová organizácia – ICANN – kompromitovaná v dôsledku útoku typu „phishing“ (phishing), ale nepredpokladá sa, že by tieto dva incidenty súviseli..