Niecały miesiąc temu strona główna największego na świecie serwisu mikroblogowego czyli Twitter.com została podmieniona przez irańską cyberarmię (Iranian Cyber Army). Grupa ta o bardzo wdzięcznej nazwie – wykorzystała fakt, iż panele zarządzające domenami u dostawców tychże, są często zabezpieczone złymi hasłami, a mechanizmy odzyskiwania haseł do panelu umożliwiają drobne przekręty. Dziś udało im się podmienić główną stronę wyszukiwarki Baidu czyli najpopularniejszej wyszukiwarki internetowej w Chinach, tak – popularniejszej nawet od Google.
W dużym uproszczeniu całość ataku wygląda tak, że po zalogowaniu się do panelu zarządzającego domeną internetową, atakujący zmienia główny adres IP domeny, kierując ruch na zarządzane przez siebie serwery. Nie atakuje bezpośrednio infrastruktury sieciowej czy serwerowej, nie wynajduje błędów w aplikacjach czy usługach. Po prostu robi wszystkich w przysłowiowe bambuko :] Atak mało wyrafinowany aczkolwiek jak widać bardzo skuteczny.
Na przestrzeni ostatnich lat mało komu udawało się podmienić witryny internetowe takich gigantów jakimi są Twitter i Baidu. Okazuje się, że mechanizmy zarządzania domenami winny być trochę bardziej szczegółowo przygotowane i jedno hasło (do tego często zbyt proste) nie powinno być jedyną możliwą informacją umożliwiającą wykonanie takich zmian. Coś czuję, że dostawcy usług zarządzających domenami zaczną dodawać funkcjonalności znane z usług bankowych, jak potwierdzenie wykonania akcji dodatkowym kanałem (na przykład SMSem). Ale czuję też, że irańska cyberarmia nie poprzestanie na tych dwóch wspaniałych serwisach :]
Z informacji uzyskanych z danych obrazka umieszczonego na stronie (EXIF) możemy dowiedzieć się, że plik został zmodyfikowany przy użyciu Adobe Photoshop CS4 Windows w dniu 27 grudnia 2009 roku o godzinie 1:41:44 PM.
Cały ruch został przekierowany do serwerów firmy Warez-Host, która jest organizacją w Dubaju, która zajmuje się hostowaniem swoistego kulooodpornego hostingu czyli takiego, który nie ugina się pod jarzmem kilku maili od administratorów z całego świata. Na stronie internetowej serwisu jasno wyjaśniają, że możecie hostować nielegalne pliki takie jak muzykę czy filmy lub choćby strony phishingowe, jednak w przypadku stron pornograficznych nie będziecie mogli skorzystać z serwerowni znajdujących się na terenie Iranu :] Już widzę jak firma ta udostępni logi dotyczące tego kto, kiedy i jak przesłał nową wersję witryny Baidu.com :]]]
Na chwilę wrócę jeszcze do sprawy Twittera, która jest o tyle ciekawa, że do finalnego zakończenia zostało wykorzystane kilka drobnych acz znaczących kroków. W dużym skrócie cały atak wyglądał tak:
- grupa uzyskała dostęp do konta pocztowego Gmail jednego z pracowników Twittera gdyż wykorzystała funkcję odzyskania hasła, która to funkcja wysyłała nowe hasło na drugie konto pocztowe,
- drugim kontem pocztowym było nieistniejące już konto pocztowe w usłudze Hotmail – atakujący założyli nowe konto z dokładnie taką samą nazwą jak to w usłudze Gmail podane do odzyskiwania hasła,
- zostały przeczytane maile skrzynki Gmailowej, w których było pierwsze hasło do usługi Gmail,
- wykorzystali to hasło i ustawili je ponownie dla tego konta aby pracownik nie zorientował się, że jego hasło zostało zmienione,
- z wykorzystaniem tego samego hasła uzyskali dostęp do usługi Google Apps, która zawierała firmowe dokumenty, emaile, załączniki itp.
- z użyciem informacji, które znajdowały się w tych danych uzyskali wykorzystali usługę resetu hasła dla innych pracowników firmy Twitter,
- między innymi do usług tych należały serwisy AT&T, MobileMe, Amazon i iTunes oraz kilka innych,
- całkiem przy okazji dzięki usłudze iTunes udało im się uzyskać informacje na temat szczegółowych danych dotyczących kart kredytowych,
- a także uzyskać dostęp do usługi zarządzania domeną internetową w firmie GoDaddy.
Nawet wtedy, nikt z firmy Twitter nie zorientował się, że ich dane zostały przejęte przez wrogów narodu ;] Choć tak na prawdę cały ten opisywany scenariusz został wykonany przez francuskiego 20 latka i parę miesięcy wcześniej to zapewne irańska grupa wykorzystała podobne mechanizmy.
Te same hasła, zła polityka zarządzania dokumentami, hasła pozostawione w starych mailach, brak porządku w konfiguracji kont pocztowych itp. Wszystko to razem do przysłowiowej kupy sprawiło, że największy serwis mikroblogowy został brzydko pisząc zhakowany :] Po raz setny okazuje się, że wszystkie tak zwane dobre praktyki, zalecenia i procedury po coś są. Są właśnie po to aby takich przykrych sytuacji mogło być jak najmniej…
Swoją drogą aż się prosiło aby w obu przypadkach na tych stronach umieścić exploity wykorzystujące błędy w oprogramowaniu klienta bo mogłoby się okazać, że byłyby to najszybciej powstające sieci botnet na świecie. Niestety ;] zostało wykorzystane wyłącznie polityczne graffiti :]
Źródła: http://cyberinsecure.com/twitter-dns-hackers-hit-chinese-search-engine-baiducom/
http://www.techcrunch.com/2009/07/19/the-anatomy-of-the-twitter-attack/
http://garwarner.blogspot.com/2010/01/iranian-cyber-army-returns-target.html
2 komentarze do
13 stycznia, 2010 o godzinie 15:36
a przypadkiem gógiel nie kupił baidu ostatnio? bo coś mi się kołacze podobna nazwa albo cuś…
13 stycznia, 2010 o godzinie 16:31
Raczej nie :]