ROMÂNIA BREAKING NEWS

GOV.md, bbc.md, msn.md, youtube.md, microsoft.md, yahoo.md, sparte datorită breșelor de securitate de la Moldata (R.Moldova)

Daca au fost sustrase si parole in urma acestui atac, atunci toti clientii MoldData ar putea fi supusi riscurilor aditionale, daca foloesesc aceeasi parola sau parole asemanatoare/derivate (ca si cea de pe NIC.MD) si pentru alte servicii digitale (email, etc.).
GOV.md, bbc.md, msn.md, youtube.md, microsoft.md, yahoo.md,  sparte datorită breșelor de securitate de la Moldata (R.Moldova)

În data de 8 Aprilie 2015, mai multe publicatii din R. Moldova au preluat rapid informatia despre spargerea  Google.MD, informatie interpretata și prezentata în mod eronat de către publicațiile respective însă nu numai  google.md a fost „sparte” ci și GOV.md, bbc.md, msn.md, youtube.md, microsoft.md, yahoo.md.

Timpul.md: Contul google.md a fost spart de hackeri. Solicitat de Radio Chișinău a intreprinderea moldData au evitat să comenteze deocamdată acest atac informațional.

Realitartatea.md:Site-ul cu extensia .md a motorului de căutare Google a fost spart în această dimineață. Potrivit mesajului lăsat de hackeri, aceștia ar fi din Bangladesh.

Radio Chișinău: Contul google.md a fost spart de hackeri. Solicitată de Radio Chișinău intreprinderea MoldData a evitat să comenteze deocamdată acest atac informațional.

Publika.md: Varianta de Moldova a celebrului motor de căutare Google a fost spartă. Utilizatorii nu pot accesa pagina, iar cel care a făcut boacăna a ținut să lase inscripția că ar fi un hacker din Bangladesh.

In realitate nu Google.MD a fost spart ci I.S. MoldData, întreprinderea de Stat ce gestionează domeniul național .md (furnizorul național de servicii acces Internet, înregistrare de domenii .md, gazduire web, proiectare și montare de rețele de calcul după se prezintă pe site-ul lor oficial – molddata.md) care a fost supusa unui atac cibernetic (vedeți mai jos).

Asta luand in consideratie ca pe 8 Aprilie 2015 intre 00:00 si 06:00 ora Chisinau, siteul NIC.MD nu era accessibil. Ar fi prea mult sa fie o simpla coincidenta.

Ce s-a intamplat cu Google.MD in termeni technici se numeste „defacement”, un fel de „schimbare la fata” a unui site web.

Actiunea de „defacement” de obicei se realizeaza prin „DNS hijack”, sau „interceptarea și inlocuirea DNS”.
DNS este sistemul care transforma un nume de domeniu precum „google.md” într-un IP de genul „216.58.210.196″.
De exemplu rulând în linia de comanda „ping google.md”, veți vedea că cererile pleaca catre un IP asemanator „216.58.210.196″.

Cand are loc un „DNS hijack”, inregistrarile .MD sunt inlocuite de atacatori in asa fel incat cererile catre acelasi „google.md” duceau mai nou catre „69.64.59.230”.

IP-ul „69.64.59.230” este un IP controlat de atacatori si deci pagina care apare e una controlata de atacatori.
Atacurile de „DNS hijack” deseori au loc pentru ca adminstratorii principali de domenii, ca in exemplul nostru MoldData pentru TLD .MD, au breșe de securitate în anumite puncte cheie ale infrastructurii de administrare a domeniilor.

Referințe despre acest „defacement” masiv și automat prin „DNS hijack :

Total notifications: 8 of which 1 single ip and 7 mass defacements

Legend:
H – Homepage defacement
M – Mass defacement (click to view all defacements of this IP)
R – Redefacement (click to view all defacements of this site)
L – IP address location
– Special defacement (special defacements are important websites)

Date Notifier H M R L Domain OS View
2015/04/07 TiGER-M@TE H M United States google.md Linux mirror
2015/04/07 TiGER-M@TE H M United States yahoo.md Linux mirror
2015/04/07 TiGER-M@TE H M United States microsoft.md Linux mirror
2015/04/07 TiGER-M@TE H M United States youtube.md Linux mirror
2015/04/07 TiGER-M@TE H M United States msn.md Linux mirror
2015/04/07 TiGER-M@TE H M United States bbc.md Linux mirror
2015/04/07 TiGER-M@TE H M United States gov.md Linux mirror
2015/04/07 test123 H United States nichiha.md Linux mirror
1
DISCLAIMER: all the information contained in Zone-H’s cybercrime archive were either collected online from public sources or directly notified anonymously to us. Zone-H is neither responsible for the reported computer crimes nor it is directly or indirectly involved with them. You might find some offensive contents in the mirrored defacements. Zone-H didn’t produce them so we cannot be responsible for such

Sursa: zone-h.org

Grav este si faptul ca si GOV.MD a fost supus unui astfel de atac.
Spre deosebire de Google.MD, GOV.MD la o privire atenta nu foloseste peste tot protocolul HTTPS.
HTTPS permite criptarea comunicatiilor

Deci problema reala s-ar putea sa fie mult mai grava.
Dupa cum se stie, I.S. MoldData este administratorul principal al domeniilor .MD (TLD .MD) si a zonei DNS .MD.
Adica orice cerere de adresa .md este rezolvata in prima instanta de serverele MoldData.
MoldData opereaza siteurile de inregistrare si administrare domenii prin NIC.MD si REGISTER.MD.
Aceste siteuri, NIC.MD si REGISTER.MD

O bresa foarte asemanatoare pare sa fi existat tocmai din Mai 2007, cand au fost semnalati administratorii si managerii MoldData. Se pare ca bresa nu a fost niciodata rezolvata!!!

—– Original Message —–
From: „Zveriu”
To: ;
Sent: Saturday, May 05, 2007 16:00
Subject: EXPLOITED Moldova TLD(.MD) Authority NIC(register.md/nic.md)

> Buna ziua!
>
> As dori sa va informez in legatura cu o bresa serioasa de securitate
> legata de gestiunea informatiilor (Contact data si NS hosts) si
> autorizarea modificarii acestora prin intermediul nic.md/register.md
>
> Bresa de securitate permite modificarea fara datelor mentionate mai sus
> pentru un domeniu fara autorizarea necesara pentru domeniul respectiv.
>
> Pentru o demonstratie a acestei brese de securitate se poate vedea facand
> un WHOIS query pentru domeniul NIC.MD – tool de whois:
> http://nic.md/whois.php
>
> IMPORTANT: bresa de securitate NU a fost folosita in niciun scop abuziv,
> ilegal sau fraudulos. Modificarea mentionata mai sus a fost folosita DOAR
> in scopuri demonstrative si informative pentru autoritatea NIC.
>
> Va rog sa luati masurile necesare pentru a fixa aceasta bresa intrucat
> pune in pericol buna functionare a TLD .MD / Sursa: forum.md

MoldData fiind companie de stat, ar cam trebuie sa se faca interpelari oficiale, la nivel de organe competente si parlamentare, referitor la un raspuns oficial din partea MoldData daca a fost tinta unui atac cibernetic si care sunt efectele, consecintele si daunele care au fost cauzate de acest atac cibernetic.

De notat este ca NIC.MD nu foloseste HTTPS, deci toate parolele se transmit in clar.
Dat fiind istoricul „nesecurizarii” de mai sus ala MoldData, este foarte posibil ca aceste parole si alte date se pastreaza necriptate, in clar.

Daca au fost sustrase si parole in urma acestui atac, atunci toti clientii MoldData ar putea fi supusi riscurilor aditionale, daca foloesesc aceeasi parola sau parole asemanatoare/derivate (ca si cea de pe NIC.MD) si pentru alte servicii digitale (email, etc.).

Surse: cetatenie.ro/blog,  realitatea.mdtimpul.mdradiochisinau.mdtorrentsmd.comzone-h.orgforum.md

Publicat pe romaniabreakingnews.ro

Leave A Reply