Группа хакеров KDMS сумела подменить сайты платформы для анализа уязвимостей Metasploit и развивающей проект компании Rapid7, в результате чего на сайтах вместо штатных страниц появилось воззвание атакующих. Особый интерес представляет метод, при помощи которого был выполнен «дефейс». Атакующие сумели получить контроль над настройками доменов Metasploit и перенаправить DNS-записи на свои серверы, путем отправки регистратору Register.com поддельного запроса по факсу на изменение параметров DNS.

Регистратор не заподозрил подвоха и на основании поддельного запроса поменял параметры DNS-серверов на присланную злоумышленниками информацию. Подмена сайтов была оперативно выявлена и устранена в течение часа, но сайты были временно заблокированы с целью выявления возможных последствий атаки.

В опубликованном злоумышленниками объявлении, кроме призывов к освобождению Палестины, атакующие взяли на себя ответственность за недавний дефейс сайтов таких компаний, как Alexa, AVG, Avira и WhatsApp, который был совершён похожим способом, используя методы социальной инженерии против регистратора Network Solutions. В минувший понедельник через подмену параметров DNS также был перенаправлен трафик крупного хостинг-провайдера leaseweb.com. Изначально предполагалось, что в процессе атаки была эксплуатирована уязвимость в панели управления хостингом, но сейчас выяснилось, что атакующие смогли получить пароль администратора домена и поменять параметры DNS через интерфейс регистратора.

Получение контроля над сайтами через DNS не является новым видом атак, напомним, что в 2011 году через атаку на регистраторов злоумышленниками были перенаправлены сайты крупнейших сетевых ресурсов, среди которых Daily Telegraph, UPS, Betfair, Vodafone, National Geographic, Acer и Register.