image

Domeinnaam Lenovo.com gekaapt via DNS-aanpassing

donderdag 26 februari 2015, 11:12 door Redactie, 3 reacties
Laatst bijgewerkt: 26-02-2015, 11:42

Aanvallers zijn er gisteren in geslaagd om Lenovo.com te kapen door de DNS van de domeinnaam aan te passen. Eerder deze week gebruikten de aanvallers dezelfde techniek bij de Vietnamese website van Google. In beide gevallen zou Lizard Squad achter de DNS-aanpassingen zitten, zo meldt OpenDNS.

Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de DNS-servers van Lenovo.com en Google.com.vn te veranderen konden de aanvallers vervolgens de IP-adressen opgeven waar de de domeinnamen naar moest wijzen. Ook kon het IP-adres van de mailserver worden aangepast, zodat e-mails voor Lenovo.com bij de aanvallers terechtkwamen. In het geval van Google.com.vn wees de website naar een Nederlands IP-adres. Inmiddels zijn beide websites weer bereikbaar en zijn de DNS-aanpassingen ongedaan gemaakt.

Update 11:42

Op Twitter werd de Maleisische registrar WebNIC, waar beide domeinnamen zijn geregistreerd, al gauw met de DNS-aanpassingen in verband gebracht. IT-journalist Brian Krebs laat weten dat Webnic.cc via een command injection-kwetsbaarheid is gehackt, waardoor er een rootkit kon worden geüpload. Deze rootkit zou alweer zijn verwijderd. De website van WebNIC is echter nog steeds onbereikbaar.

Reacties (3)
26-02-2015, 11:32 door Erik van Straten
Naar verluidt was webnic.cc gehacked (zie http://krebsonsecurity.com/2015/02/webnic-registrar-blamed-for-hijack-of-lenovo-google-domains/).

De consequentie van de hack van Lenovo.com was niet alleen dat surfers op een andere webserver uitkwamen, maar ook dat e-mails richting Lenovo in handen van Lizard Squad gevallen zijn (ook MX records waren aangepast).
26-02-2015, 23:17 door sonnection.nl - Bijgewerkt: 26-02-2015, 23:20
Lenovo had DNSSEC kunnen gebruiken. Als dan de private key netjes offline bewaard zou zijn geweest, had een onbevoegde aanpassing van de NS records door DNSSEC verifying clients in elk geval gedetecteerd kunnen worden.

Voor google.com.vn wordt dat lastiger, aangezien .vn nog helemaal geen DNSSEC ondersteunt...

/rolf
02-03-2015, 00:03 door Anoniem
Door sonnection.nl: Lenovo had DNSSEC kunnen gebruiken. Als dan de private key netjes offline bewaard zou zijn geweest, had een onbevoegde aanpassing van de NS records door DNSSEC verifying clients in elk geval gedetecteerd kunnen worden.

Voor google.com.vn wordt dat lastiger, aangezien .vn nog helemaal geen DNSSEC ondersteunt...

/rolf


Dat is betwijfelbaar, aangezien de registrar zelf was gehacked en zelfs als zij hun private keys offline bewaren zouden de hackers de zone opnieuw kunnen signen met nieuwe keypairs en de DS record in naam van WebNIC laten aanpassen bij .com registry (net zoals de NS records), waardoor er voor de dnssec validators na het binnenhalen van de nieuwe keys niets aan de hand zou zijn. Uiteraard zit je nog met wat TTL issues, maar die zouden zij op voorhand op iets heel kleins kunnen zetten
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.