Il gruppo palestinese Kdms Team ha rivendicato un pesante attacco sferrato nei confronti di alcune famose società tra le quali due operanti nel settore della sicurezza informatica. Sulla home page dei siti web di AVG, Avira e Whatsapp è apparso un messaggio inneggiante alla “Palestina libera”. “Vogliamo informarvi che sulla faccia della Terra esiste una nazione chiamata Palestina (…) il popolo palestinese ha il diritto di vivere in pace, ha il diritto di rendere libera la sua terra e di richiedere il rilascio di tutti le persone detenute nelle carceri israeliane“, si legge. Lo stesso messaggio è stato pubblicato su ciascun sito web preso di mira.
L’attacco sembra essere molto simile a quello messo a segno, alcune settimane fa, da un gruppo di attivisti siriani nei confronti di Twitter. Secondo quanto emerso da una nostra rapida analisi, gli aggressori sarebbero riusciti a modificare i record WHOIS dei domini principali di AVG, Avira e Whatsapp alterando i server DNS di riferimento (DNS autoritativi). L’operazione ha così permesso di reindirizzare i browser degli utenti (chiunque digiti avg.com
, avira.com
o whatsapp.com
) verso i server scelti dai membri del Kdms Team.
L’aggressione, come accaduto a Twitter, potrebbe non essere stata sferrata nei confronti dei server delle tre aziende ma diretta verso la società che offre il servizio di gestione del DNS.
Il gruppo Kdms Team, su Twitter, ha celebrato l’operazione fornendo la lista completa dei siti web presi di mira. Si attendono i commenti di AVG, Avira e Whatsapp.
Aggiornamento delle ore 18,45: come ipotizzato in prima istanza, il problema ha riguardato il registrar Network Solutions, cui si appoggiano Avira, AVG e Whatsapp. Avira ha infatti confermato che Network Solutions avrebbe ricevuto una falsa richiesta di modifica della password (password reset) che è stata utilizzata dal Kdms Team per appropriarsi del pannello di gestione dei vari domini presi di mira. Evidentemente, esaminando gli strumenti per il recupero della password pubblicati a questo indirizzo, il team palestinese è riuscito a rispondere correttamente ai quesiti per la reimpostazione della password.
A questo punto, visto il crescente numero di attacchi di questo tipo (DNS hijacking) che si stanno registrando negli ultimi mesi, sarebbe opportuno che i provider attivassero qualche forma di autenticazione a due fattori. Ad ogni richiesta di modifica della password, basterebbe inviare un semplice SMS sul telefono dell’amministratore del dominio. Per confermare l’operazione questi dovrà obbligatoriamente digitare il codice contenuto nell’SMS.