I siti Internet del popolare servizio di messaggistica istantanea WhatsApp, quelli dei provider di prodotti per la sicurezza Avira e AVG, sono stati nelle scorse ore il bersaglio di un attacco hacker. I siti in questione whatsapp.com, avira.come e avg.com sono stati colpiti con un attacco defacement. Alle 11.40 di martedì 8 ottobre il sito di WhatsApp ha mostrato un messaggio pro-palestinese con il titolo "You Got pwned". Lo stesso messaggio è apparso sul sito di Avira e quello di AVG.
Il gruppo di hacker che si ritiene affiliato ad Anonymous Palestine, che si fa chiamare KDMS Team, ha rivendicato su Twitter la responsabilità degli attacchi, la consegna dei messaggi defacement filo-palestinesi che terminavano con le parole "Viva la Palestina". Tutti e tre i siti web sembrano essere vittime di un attacco a Network Solutions, registrar di nome di dominio e società di hosting. Non è chiaro se anche e-mail da WhatsApp siano state intercettate.
Nella homepage dei siti presi di mira - spiega il Guardian - era presente un'immagine della bandiera palestinese, ed era possibile ascoltare l'inno del Paese e leggere il seguente testo: we want to tell you that there is a land called Palestine on the earth this land has been stolen by Zionist do you know it ? Palestinian people has the right to live in peace Deserve to liberate their land and release all prisoners from israeli jails we want peace long live Palestine"
Che tradotto: "Vogliamo dirvi che c'è una terra chiamata Palestina sulla terra, questa terra è stata rubata da sionista. Lo conosci? Popolo palestinese ha il diritto di vivere in pace. Meritano di liberare la loro terra rilasciare tutti i prigionieri dalle carceri israeliane. Vogliamo la pace Viva la Palestina". Gli hacker hanno usato i siti dirottati per diffondere le loro idee politiche su Israele. Il secondo messaggio è stato seguito da un logo di Anonymous Palestina con il testo di accompagnamento:
"Non c'è completa sicurezza. Siamo in grado di ottenere". Come scrive ZDNet, Non è ancora chiaro se l'attacco abbia compromesso anche i dati dei clienti. Secondo il database Whois che può controllare che l'indirizzo IP numerico è associato ad un dominio assegnato, l'IP di WhatsApp è stato cambiato Martedì. Avira ha confermato in un comunicato di aver subito un attacco di tipo DNS hijacking e di aver vissuto "una grave interruzione nel servizio DNS".
Nel comunicato si spiega che è stato attaccato il provider dei servizi Network Solutions, sottolineando che i siti web di Avira non sono stati attaccati. "Sembra che diversi siti web di Avira, così come le altre società sono stati compromessi da un gruppo chiamato KDMS. I siti web di Avira non sono stati attaccati , l'attacco è avvenuto presso i nostri provider di servizi Internet "Network Solutions", ha scritto Sorin Mustaca, Avira Security Expert and Product Manager.
Nel comunicato si spiega che è stato attaccato il provider dei servizi Network Solutions, sottolineando che i siti web di Avira non sono stati attaccati. "Sembra che diversi siti web di Avira, così come le altre società sono stati compromessi da un gruppo chiamato KDMS. I siti web di Avira non sono stati attaccati , l'attacco è avvenuto presso i nostri provider di servizi Internet "Network Solutions", ha scritto Sorin Mustaca, Avira Security Expert and Product Manager.
"I record DNS dei vari siti web - continua Mustaca - compresi quelli di Avira.com, sono stati modificati per puntare ad altri domini che non appartengono ad Avira. Sembra che il nostro account utilizzato per gestire i record DNS registrati presso Network Solutions abbia ricevuto una falsa richiesta di reimpostazione della password che è stata onorata dal fornitore. Utilizzando le nuove credenziali i criminali informatici sono riusciti a modificare le voci per puntare ai server DNS".
"La nostra rete interna non è non è stata compromessa in alcun modo. I nostri prodotti non sono stati colpiti in qualsiasi punto, compresi i server di update per gli aggiornamenti del prodotto e la rilevazione". Network Solutions avrebbe ricevuto una falsa richiesta di modifica della password da parte di KDMS team, utilizzando gli strumenti disponibili a questa pagina. In tal modo gli hacker hanno avuto accesso al pannello di gestione dei vari domini presi di mira.
Come riporta The Register, un portavoce di AVG ha dichiarato: "AVG può confermare di aver avuto un numero selezionato di siti online deturpati come risultato della compromissione del nostro provider DNS. Un certo numero di altre società sembra essere stato preso di mira in modo simile, la situazione è monitorata e valutata. I clienti sono la nostra priorità e AVG sta lavorando duramente per riprendere i livelli di servizio normali per la sua base di clienti"..
Come riporta The Register, un portavoce di AVG ha dichiarato: "AVG può confermare di aver avuto un numero selezionato di siti online deturpati come risultato della compromissione del nostro provider DNS. Un certo numero di altre società sembra essere stato preso di mira in modo simile, la situazione è monitorata e valutata. I clienti sono la nostra priorità e AVG sta lavorando duramente per riprendere i livelli di servizio normali per la sua base di clienti"..
Il gruppo KDMS ha anche rivendicato un attacco contro Leaseweb, una società di hosting con circa il 4% del traffico internet globale sotto la sua gestione, ed effettuato con successo un reindirizzamento DNS alla sua homepage. L'affermazione dell'attaco a LeaseWeb può essere trovata qui. Le pagine mirror dei siti web hackerati: http://add-attack.com/mirror/349723/whatsapp.com/, http://add-attack.com/mirror/349724/avg.com/, http://add-attack.com/mirror/349722/avira.com. Intanto, Network Solutions ha aperto un'indagine sul DNS Hijack.
Mentre il reindirizzamento dei visitatori e la deturpazione del sito sono imbarazzanti per le aziende colpite, "c'è anche la possibilità di perdite di dati, come l'hack DNS potrebbe aver inciso così le mail", secondo Grahm Cluley, senior technology consultant di Sophos. "I servizi di messaggistica mobile di WhatsApp sembrano non essere coinvolti, a parte il sito principale della società e le conseguenze per AVG e Avira sarebbero potute essere molto più gravi, tuttavia, potenzialmente potrebbero essere stati influenzati i loro prodotti di sicurezza.
"Per quanto riguarda le società di antivirus, AVG e Avira, c'è anche la possibilità che gli aggiornamenti dei programmi potrebbero essere stati avvelenati se le aziende utilizzano i nomi di dominio come parte delle loro procedure di update, anche se c'è probabilmente una serie di controlli e verifiche per evitare che all'interno della procedura di aggiornamento ", ha spiegato Cluley. I DNS hijacking sono diventati sempre più popolari. Il New York Times e Twitter sono stati colpiti da un attacco di DNS in agosto dal sedicente Syrian Electornic Army.
Nessun commento:
Posta un commento