Хакерская группа Syrian Electronic Army («Сирийская электронная армия», SEA), известная по атакам крупных электронных СМИ в этом году, подменила доменную информацию для большого числа сайтов, включая страницу New York Times и некоторые домены Twitter. Специалисты по информационной безопасности утверждают, что атака, скорее всего, была выполнена через доменного регистратора.

New York Times и Twitter, так же как и множество других компаний, включая Google и Yahoo!, используют в качестве доменного регистратора компанию MelbourneIT. Исследователи, наблюдавшие атаку, отметили, что записи WHOIS и доменная информация многократно менялись между легитимными и фальшивыми данными на протяжении нескольких часов. Страница The Times спорадически уходила в офлайн во вторник днем, а сотрудники компании получили сообщение от CIO с просьбой быть осторожными при отправке электронных писем, «пока эта ситуация не разрешится».

Атака SEA позволила перенаправить посетителей затронутых сайтов на сервер, контролируемый атакующими. Исследователи утверждают, что атакующие также могут иметь возможность перенаправлять электронные письма, веб- и прочий трафик с компрометированных сайтов.

«Все три домена используют MelbourneIT в качестве доменного регистратора. При получении доступа к регистратору SEA может перенаправлять DNS-запросы, e-mail и веб-трафик, идущий на эти сайты, на сервер по своему выбору», — сказал HD Moore, главный исследователь Rapid7.

Около 5 часов вечера EDT во вторник SEA разместила в Twitter изображение записи WHOIS с подмененными данными. Около 90 минут спустя они показали изображение с несколькими доменами Twitter в чем-то, что может быть бэк-эндом регистратора. Текст твита гласит: «Twitter, ты готов?»

Взломанные SEA домены включают пару доменов, используемых Twitter для размещения изображений. WHOIS во время атаки выдавал такие данные для twitter.com:

Admin Name……….. SEA SEA
Admin Address…….. 1355 Market Street
Admin Address…….. Suite 900
Admin Address……..
Admin Address. San Francisco
Admin Address…….. 94103
Admin Address…….. CA
Admin Address…….. UNITED STATES
Admin Email………. sea@sea.sy
Admin Phone………. +1.4152229670
Admin Fax………… +1.4152220922

Данные, подмененные для Times и взломанных доменов Twitter, были идентичны. Джейми Бласко из AlienVault Labs выложил длинный список доменов, указывавших на сервер SEA во время атаки. Пока нет полной ясности, как доменный регистратор мог быть взломан.

В дополнение к атаке во вторник SEA также взяла на себя ответственность за атаки на Washington Post, The Onion, Associated Press и еще несколько СМИ.

Категории: Кибероборона, Хакеры