Пользователи Gmail, Netflix и PayPal подверглись атакам перехвата DNS

Пользователи Gmail, Netflix и PayPal подверглись атакам перехвата DNS

Последние три месяца злоумышленники активно атакуют пользователей популярных онлайн-сервисов Gmail, Netflix и PayPal. В ходе своей операции атакующие используют технику, известную как «перехват DNS» (DNS hijacking).

Об этих кибератаках сообщили эксперты из Bad Packets. По их словам, преступники скомпрометировали роутеры пользователей, а затем модифицировали настройки DNS таким образом, чтобы жертвы перенаправлялись на фейковые веб-сайты.

Именно так у пользователей выманивались учетные данные для входа в онлайн-сервисы.

В общей сумме в Bad Packets насчитали четыре мошеннических DNS-сервера, которые атакующие использовали для перехвата трафика пользователей.

«За последние три месяца наши ханипоты (honeypots) зафиксировали атаки перехвата DNS, в ходе которых злоумышленники компрометировали маршрутизаторы пользователей», — говорится в отчете Bad Packets.

«Все попытки взлома роутеров происходили из сети Google Cloud Platform. В этой кампании атакующие использовали четыре мошеннических DNS-сервера для перенаправления трафика своих жертв».

Первая волна атак затронула маршрутизаторы D-Link DSL-2640B, DSL-2740R, DSL-2780B и DSL-526B. Используемый в этих атаках DNS-сервер располагался в Канаде — 66[.]70.173.48.

Вторая волна также затронула роутеры серии D-Link DSL, на этот раз атаковал другой сервер (144[.]217.191.145), однако он тоже был расположен в Канаде.

В ходе атак также использовались серверы из России — 195[.]128.126.165 и 195[.]128.124.131.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Let’s Encrypt через два дня отзовёт миллионы сертификатов

Популярный центр сертификации Let’s Encrypt с 28 января 2022 (эта пятница) начинает отзывать сертификаты SSL / TLS, выпущенные за последние 90 дней. Пользователей предупреждают, что эта процедура может затронуть миллионы действующих сертификатов.

Напомним, что некоммерческая организация Let's Encrypt подчиняется Internet Security Research Group (ISRG). Центр сертификации выпускает бесплатные криптографические сертификаты стандарта X.509, обеспечивающие шифрование передаваемых по сети данных.

Сторонние исследователи, изучившие репозиторий Let's Encrypt, проинформировали ISRG о двух проблемах (PDF) в имплементации метода валидации «TLS с использованием ALPN».

Чтобы исправить недостаток, Let’s Encrypt потребовалось вынести два изменения в работу проверки TLS-ALPN-01.

«Все действующие сертификаты, выпущенные с проверкой TLS-ALPN-01 до 26 января 2022 года, будут считаться некорректными. Всё дело в фиксе, который мы выпустили на этой неделе», — объяснили представители центра сертификации.

Таким образом, 28 января около 19:00 Let’s Encrypt начнёт отзывать проблемные сертификаты, которых затронула брешь метода валидации TLS-ALPN-01. По оценкам сотрудников, проблема коснулась менее 1% от всех выпущенных сертификатов.

Учитывая, что активных сертификатов на сегодняшний день насчитывается более 221 млн, один процент на деле может значить миллионы отозванных. НКО обещает уведомить по электронной почте всех, кого коснётся эта процедура.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru