Национальная система DNS-спуффинга

yr24veijzifq5ttkvweolevrr5u.png


12.06.2022 года, в День России, был взломан и «дефейснут» один из сайтов ВГТРК Smotrim[.]ru. Об этом написали несколько СМИ и, на фоне множества дефейсов с 24 февраля, на это никто особого внимания не обратил. Но тут было на что посмотреть с точки зрения того, что именно было взломано.
Сам сайт содержал антивоенные лозунги и выглядел следующим образом (надписи были убраны автором):
5itbbll6o2ejdfnp-qk7ew4q8ts.jpeg

Обратили внимание на https?
Да, сертификат не соответствовал домену, почему? В руках атакующих оказался валидный wildcard сертификат, но от *[.]vgtrk[.]ru. А к smotrim[.]ru он не подходил.
В целом, это очень серьезное подспорье для фишинга, но, видимо, им не смогли в должной степени воспользоваться.

Но, стоп, почему при дефейсе вообще трогали сертификат? А потому что это не тот сервер, и это был не дефейс.
При переходе по доменному имени меня отправило в Украину! Ну что ж, похоже, что у ВГТРК поменяли DNS-запись в панели управления регистратора, вот и перебрасывает куда попало. А Google DNS еще об этом не слышал, поэтому и видно вот такую картину:

e_iaxpdya2zekg4ba7sktf1glcg.jpeg

IP 45.134.174[.]108 — сервер в Украине.
IP 178.248.232[.]222 — настоящий сервер ВГТРК, который прекрасно работал в момент проверки и продолжал вещание.
Было решено попробовать сделать Flush DNS и удостовериться, что Google просто отстает. Сделано, ситуация не изменилась. Google все еще видит правильный IP. DNS Cloudflare (1.1.1.1) тоже.

qim-ka7kw_w3s8tdtri_r_mk_tq.jpeg
0y8yzcsvvpbqw7seadoyrqt0atu.jpeg

И сейчас, по прошествии более 1,5 месяцев, в DNS-history (Истории IP адресов домена), нет ничего об украинском IP 45.134.174.108!

mwqayvg0sqddfqz7b9c9jqzs1kk.png

Для всего интернета вне РФ, такой записи и не было. Так кто же меня тогда отправляет на украинский сервер? DNS провайдера?
Проверяю DNS в различных конфигурациях:
— DNS провайдера МТС в Украину.
— DNS провайдер Йота в Украину.
— DNS провайдер Ростелеком в Украину.
— DNS Google на настоящий сервер.
— ЛЮБОЙ зарубежный DNS на настоящий сервер.

Итак, спуффингу оказались подвержены только российские провайдеры, зарубежные DNS даже постфактум не узнали о проблеме. А что объединяет всех провайдеров России и DNS? Национальная система доменных имен (НСДИ), это единая точка отказа, только она могла затронуть все DNS провайдеров России и не задеть всех остальных.

Автору доподлинно неизвестно каким образом была совершена атака по отравлению НСДИ, возможно ли влиять на НСДИ легальным образом через какую-либо панель владельца записи и вручную поменять запись. Но сам факт того, что кто-то смог завернуть трафик всех провайдеров России в Украину вызывает опасение. Неужели так легко превратить НСДИ в Национальную систему DNS спуффинга?

Особенно автора статьи удивило то, что никто этого и не заметил, а кто заметил предложил об этом умолчать. Это еще повезло, что атаку не смогли эффективно использовать. Или смогли? И об этом тоже умолчали? Так мы явно безопасный рунет не построим.

© Habrahabr.ru