شهدت الفترة الأخيره إختراقات من العيار الثقيل لمواقع مشهورة مثل metasploit , leaseweb , AVG , whatsapp من قبل فريق KDMS الذي يشغل حديث الساحه العالمية حالياً بالإنجازات التي قدمها هذا الفريق الذي أثبت وجوده على الساحه وأثبت أن الهاكر العربي على مستوى عالي من الإحترافية وتمكن من إختراق مواقع مشهورة على الساحه العالمية من أبرزها بوجهة نظري شركة Rapid7 التي تعد من أقوى الشركات المصنعه لبرمجيات أمن المعلومات في العالم والتي إستحوذت على مشروع metasploit , كما أنه تم إختراق موقع metasploit.com أيضاً من نفس الفريق , وسوف نأتي بعد قليل لتفصيل هذه الإختراقات والتكلم عنها أكثر ولكن في البداية دعونا نتعرف قليلاً على هذا الفريق :
(الصورة منقولة من موقع the hacker news)
فريق KDMS هو فريق هاكر فلسطيني حديث العهد على ساحة الإنترنت , قام بالكثير من الإختراقات لمواقع مشهورة سوف نتعرف عليها خلال هذا المقال , فريق برأيي يتمتع بخبره عاليه وإحترافيه في مجال أمن المعلومات وبالطبع يشكل تهديد واضح على أي موقع وأي شركة موجودة على شبكة الإنترنت , حيث لاحظنا أن هذا الفريق يعمل بشكل أساسي على إختراق الداتا سنتر وإختراق مزودي الخدمة بشكل مباشر , ويتبع طرق حديثه في الهجوم على المواقع أبرزها هجمات DNS hijacking.
حسناً , بعد ما تعرفنا على الفريق دعونا الأن نبدأ بتحليل الإختراقات من الأقدم إلى الأحدث وسوف نبدأ بشركة Leaseweb وهي من أكبر الشركات الخاصه بإستضافة المواقع بالعالم , تم إختراقها في تاريخ 05/10/2013 حيث قام الفريق بتغير الصفحه الرئيسية للموقع , ويشار هنا إلى أن الهجوم تم من خلال DNS hijacking وهي هجمة تؤدي إلى تغير دومين الموقع ليؤدي إلى مساحه أخرى غير التي تم ربط الدومين بها , وهذا ما صرحت به الشركة من خلال هذه التدوينة , كما صرحت الشركة بأنه لم يكون هنالك أي تسريب لمعلومات العملاء أو بيانات بطاقات الإئتمان الخاصه بالعملاء وإنما الهجوم كان فقط DNS hijacking , ولكن فريق KDMS زعم بأنه تمكن من الوصول إلى جميع السيرفرات الخاصه بالشركة من خلال مراسلته لموقع the hacker news وهذا نص الرسالة :
“We owned Leaseweb Servers and kept some of their servers for us. But we only changed the DNS Server for now, because we faced some problems with the company website. Here, all what we need .. is to add our signature on their homepage to prove that there is not Completely Secure. If we can pwn them, we can hack other big providers too.,”
ترجمة الرسالة أن الفريق قد قام بالسيطره على سيرفرات الشركة كاملة وأبقوا بعض السيرفرات الخاص بالشركة لهم وهم فقط قاموا بتغير عناوين DNS الخاصة بالموقع لأنه واجهو بعض المشاكل مع موقع الشركة , وهم أرادو أن يضعوا بصمه لهم على الصفحه الرئيسية لموقع الشركة ليبرهنوا أن الموقع غير محمي بشكل كافي , وأنهم كما قاموا بإختراق الشركة يستطيعون إختراق شركات مزوده لمثل هذه الخدمات أيضاً.
“We owned Leaseweb Servers and kept some of their servers for us. But we only changed the DNS Server for now, because we faced some problems with the company website. Here, all what we need .. is to add our signature on their homepage to prove that there is not Completely Secure. If we can pwn them, we can hack other big providers too.,”ترجمة الرسالة أن الفريق قد قام بالسيطره على سيرفرات الشركة كاملة وأبقوا بعض السيرفرات الخاص بالشركة لهم وهم فقط قاموابتغير عناوين DNS الخاصة بالموقع لأنه واجهو بعض المشاكل مع موقع الشركة , وهم أرادو أن يضعوا بصمه لهم على الصفحه الرئيسية لموقع الشركة ليبرهنوا أن الموقع غير محمي بشكل كافي , وأنهم كما قاموا بإختراق الشركة يستطيعون إختراق شركات مزوده لمثل هذه الخدمات أيضاً.
ولكن بوجهة نظري أن الفريق قام بإنجاز رائع وهو عمل DNS hijacking على الشركة ولكنهم لم يقوم بالإستحواذ على السيرفرات كاملة , لأنه لو بالفعل قاموا بالإستيلاء على سيرفرات الشركة لكان هنالك على أقل تقدير نشر لبعض المعلومات حول عملية الإستيلاء كما هو المعروف أو مثلاً إختراق كبرى المواقع الموجوده ضمن هذه الإستضافه وهذا ما سنكشتفه أثناء التحليل.
نأتي الأن للإختراق الثاني وهو إختراق موقع whatsapp وكان في تاريخ 08/10/2013 , وسبب هذا الإختراق رد فعل مثير للجدل لدى مستخدمين هذا البرنامج , حيث ظن البعض أن هذا الإختراق قد يضر المستخدمين من حيث تسريب معلومات , ألغاء حسابات , أو أي أمور تخريبيه أخرى , ولكن بعد ما تم التحقيق بحادثت الإختراق تم التأكد من أن الهجمة كانت DNS hijacking أيضاً ! إذاً الفريق قام بالسيطرة على بعض النطاقات الخاصة بالمواقع الكبيرة والتحكم بها سواء كان من نفس المزود أو من مزود أخرى ! دعونا نرى الأن إن كان دومين whtasapp مملوك من قبل شركة Leaseweb أم لا :
من خلال موقع who.is نستنتج أن الدومين www.whatsapp.com مملوك من قبل شركة NETWORK SOLUTIONS وأيضاً نستنتج أن الإستضافة مملوكة من قبل SOFTLAYER بالتالي نستنتج أنه لا يوجد علاقه لإختراق شركة Leaseweb بإختراق whatsapp كما يظن البعض ! لأن الدومين مأخوذ من شركة والإستضافة من شركة أخرى بالتالي إحتمالية ان يكون لشركة Leaseweb علاقه بإختراق موقع whatsapp كما يظن البعض هي 0% , وسوف نرى العلاقات بين إختراق المواقع السابقة مع شركة Leaseweb وأيضاً مع شركات الإستضافه الكبيره لنضع بعض الإحتمالات الممكنه لعمليات الإختراقات التي حصلت.
وبالنسبة للإختراق الثالث فلقد تم إختراق موقع شركة مكافحة الفايروسات AVG بعد دقائق معدوده من إختراق موقع Whatsapp بهجوم DNS hijacking , وبعد ما قمنا بالبحث عن ملكية دومين AVG وجدنا أنه متبوع أيضاً لشركة NETWORK SOLUTIONS وهذه الصورة توضح :
avg who is page
بالتالي هنالك مشكلة معينه داخل شركة NETWORK SOLUTIONS أدت إلى حدوث مثل هذه الإختراقات لمواقع كبيره وهذا يؤكد لنا أنه لم يكن هنالك وصول لسيرفرات شركة AVG و Whatsapp.
سوف نأتي الأن لأخر إختراقين وهما إختراق موقع شركة Rapid7 و موقع Metasploit وقعا بتاريخ اليوم 11/10/2013 وأيضاً كان الإختراق من خلال هجمات DNS hijacking , حيث صرح HDmoore مؤسس ومسؤول مشروع Metasploit الحالي أن الهجمه على موقع metasploit و Rapid7 كانت DNS hijacking وأنهم يحاولن حل هذه المشكلة بأسرع وقت ممكن عبر هذه التغريدة , كما صرح أيضاً بأن سبب الإختراق كان من شركة Register.com وهذا ما سوف نراه الأن.
لنأتي الأن لتحليل النطاقات الخاصه ب Rapid7 و metasploit ونرى إن كان هنالك تطابق بين الشركة المستضيفه.
هذه الصورة توضح أن نطاق شركة Rapid7 مملوك من قبل شركة REGISTER.COM.
Rapid7 whois
والأن سوف نحلل النطاق الخاص ب Metasploit ونرى الشركة المستضيفه للدومين.
Metasploit whois
كما نلاحظ أن الدومين metasploit.com مملوك أيضاً من قبل شركة REGISTER.COM وهذا يؤكد أن الإختراق للدومينات السابقة كان DNS hijacking سببه الشركة المستضيفه وهي شركة REGISTER.COM.
إذاً بعد هذه التحليلات البسيطه للإختراقات التي وقعت لشركة كبيره مثل هذه نستنتج عدة أمور منها :
إختراق شركة Leaseweb ليس له علاقه بإختراق باقي المواقع.
شركة NETWORK SOLUTIONS هي الشركة المسؤوله عن إختراق دومينات WHATSAPP و AVG.
شركة REGISTER.COM هي الشركة المسؤولة عن إختراق دومينات Metasploit و AVG.
أخيراً بدوري أرفع القبعه لهذه المجموعة لما لديها من خبره في مجال أمن المعلومات حيث إستطاعت أن تضرب مركز العمليات للمواقع دون الحاجه لإتباع طرق الإختراق التقليدية , وأيضاً وجب التنويه على ضروورة متابعة الدومينات الخاصه بكم إن كانت موجود على NETWORK SOLUTIONS أو REGISTER.COM تقادياً لمثل هذه الإختراقات وإن شاء الله سوف نقوم بشرح هجمات DNS hijacking خلال الأيام القادمه بإذن الله.