Skupině útočníků, známé pod názvem Syrská elektronická armáda (SEA), se podařilo změnit kontaktní informace v doménových registrech na webu facebook.com, změnit adresu webu na jiný server se jim však nepodařilo
Skupina na Twitteru zveřejnila kopii obrazovky ovládacího panelu společnosti MarkMonitor, která spravuje doménová jména velkých společností. Zabývá se také ochranou duševního vlastnictví a internetových značek. Služba společnosti, která slouží na správu domén, podle webu MarkMonitor „zajišťuje bezpečnost domén posíleným portálem a prémiovým bezpečnostním řešením, včetně pokročilých bezpečnostních opatření na úrovni registrů.“
SEA se podle všeho na MarkMonitor zaměřila právě kvůli útoku na Facebook, který v úterý oslavil své desáté výročí. Skupina použila ovládací panel k úpravě informací WHOIS a kontaktní adresu domény změnila na místo v syrském Damašku.
Kyberzločincům se však nepodařilo upravit nastavení DNS a server přesměrovat na jiný pod kontrolou SEA, jak se jim to podařilo již u několika webů v minulosti. Facebook totiž používá funkci „zamčení registrů“, která při každé změně doménového jména vyžaduje dodatečné potvrzení člověkem.
To, jak se SEA podařilo panel zpřístupnit, se neví a společnosti MarkMonitor ani Facebook tuto situaci nijak nekomentovali. Z ostatních snímků, které útočníci zveřejnili, lze poznat, že získali přístup i k doménovým jménům Amazonu, Googlu, Yahoo a dalších známých společností, které však používají stejnou ochranu jako Facebook.
Operace SEA zahrnují mj. phishing zaměřený na konkrétní zaměstnance společností s cílem získání citlivých informací pomocí sociálního inženýrství. Minulý měsíc se skupině podařilo zveřejnit zprávy na oficiálních blozích Microsoftu a Office poté, co z několika zaměstnanců vymámili přihlašovací údaje k e-mailům.
SEA své schopnosti zneužívá pouze k šíření politických zpráv podporujících syrského prezidenta a vládu, tento druh útoku však může být využit i k zákeřnějším cílům, například ke krádeži dat či nakažení počítačů malwarem.
zdroj: ICT manažer