Хакерская группировка UGNazi сообщила о новой успешной атаке, в этот раз на интернет-сервис CloudFlare. CloudFlare представляет собой систему доставки веб-контента с динамической системой DNS-серверов. Основная задача CloudFlare - перераспределение сетевой нагрузки для обеспечения стабильной доставки веб-контента и защиты веб-сайтов от DDoS-атак. В результате неизвестных действий, хакеры получили доступ к электронной почте руководителя проекта Мэтью Принца (Matthew Prince). Используя доступ к почте, хакеры захватили контроль над системой управления проектом и базой данных с информацией о клиентах и платежной информацией.
С целью демонстрации своего контроля над CloudFlare, участники UGNazi произвели подмену DNS-записей одного из клиентов сервиса, популярного интернет-форума 4chan. В результате этих действий посетители 4chan перенаправлялись на официальный веб-сайт хакерской группировки. Владелец CloudFlare опубликовал в своем блоге сообщение о том, что контроль над сервером восстановлен, а API-ключи клиентов обновлены.
Вместе с тем, Мэтью Принц провел публичное расследование с целью выяснения причин взлома. Прежде всего, под обвинение в уязвимостях попала компания Google, на серверах которой был размещен почтовый ящик владельца CloudFlare. При этом Мэтью утверждал, что для почтового ящика использовалась двухуровневая авторизация, а пароль состоял из 20 случайно сгенерированных символов.
Эксперты компании Google оперативно проверили алгоритмы системы двухуровневой авторизации и рассказали владельцу CloudFlare об их надежности, указав, что причины надо искать в другом месте. Тогда, Мэтью обвинил оператора сотовой связи AT&T в недостаточной защите голосовой почты, через которую, по его мнению, произошла компрометация его электронной почты.
Вместе с тем, руководитель CloudFlare склонен считать, что эта атака не обошлась без приемов социальной инженерии, которые хакеры UGNazi использовали в предыдущих своих атаках. Представители AT&T пока никак не прокомментировали эти заявления. По мнению экспертов, причиной взлома электронной почты могла стать некорректная пересылка между несколькими электронными адресами владельца CloudFlare.
В итоге, получив доступ к почте, размещаемой не на сервисе Google, хакерам удалось провести MITM-атаку и перехватить реквизиты доступа к серверу. По заявлению представителей UGNazi, они собираются продать скомпрометированные данные CloudFlare на веб-сервисе Darkode.
Несколько дней назад хакерская группа UGNazi осуществила громкую акцию, подменив DNS-записи одного из самых популярных сайтов в интернете — форумов 4chan (входит в Топ-1000 по версии Alexa). Хак был осуществлён через инфраструктуру DNS-сервиса CloudFlare, клиентом которого является 4chan. В результате, миллионы посетителей 4chan автоматически перенаправлялись на сайт хакерской группы UGNazi.
Во взломе 4chan нет ничего особо интересного, это англоязычное сообщество не слишком известно в Рунете. Но вчера исполнительный директор компании CloudFlare Мэтью Принс (Matthew Prince) назвал четыре «критические уязвимости», которые привели к взлому, это уже интересно.
1. Сотовый оператор AT&T включил редирект голосовой почты Принса на сторонний ящик.
2. Злоумышленник выполнил процедуру смены «забытого пароля» от почтового ящика Gmail, запросив четырёхзначный PIN-код на телефон.
3. Уязвимость в процедуре восстановления паролей Google Enterprise Apps позволила злоумышленнику обойти двухфакторную аутентификацию в аккаунте Принса на CloudFlare.com.
4. Автоматическая отсылка на административный аккаунт «слепых копий» служебных писем CloudFlare в адрес пользователя (в том числе с указанием пароля) позволила сменить пароль пользователя, поскольку хакер имел доступ к административному аккаунту.
CloudFlare представляет собой систему доставки контента (CDN) с динамической системой DNS-серверов. Основная задача — перераспределение сетевой нагрузки для высоконагруженных сайтов, обеспечение стабильной работы и защита от DDoS-атак.
Более подробно о взломе CloudFlare см. пост-мортем в корпоративном блоге. Компания также опубликовала инфографику с хронологией событий — весь взлом занял менее двух часов.
http://www.xakep.ru/post/58806/
http://uinc.ru/news/sn18041.html
Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...