В воскресенье ночью несколько крупнейших сетевых ресурсов, среди которых Daily Telegraph, UPS, Betfair, Vodafone, National Geographic, Acer и Register, оказались подменены злоумышленниками, которым благодаря атаке на регистраторов доменов Netnames.co.uk и Ascio удалось подменить записи в DNS. После атаки, домены жертв были перенаправлены на новый IP, на котором выводилась заставка с уведомлением о взломе, который был совершен турецкой группой Turk Guvenligi.
Это первый в истории крупный взлом регистраторов, который повлек за собой публично заметное изменение DNS. Насторожиться также заставляет тот факт, что одновременно были взломаны сразу два различных регистратора. Ранее встречались единичные случаи атак, связанных с подменой параметров DNS на уровне регистраторов, но они как правило списывались на утечку параметров авторизации владельцев доменов. Почти сразу внесенные злоумышленниками изменения были отменены, но с учетом инертности обновления DNS, многие посетители, использующие DNS-серверы успевшие прокэшировать данные атакующих, могли лицезреть заявление о взломе крупнейших и уважаемых сайтов, пострадавших по вине регистратора.
Пользователям повезло, что атака была демонстративной, в случае проведения скрытой подмены сайта атакующие имели возможность организовать сбор паролей и конфиденциальных данных пользователей. Распознать такую атаку со стороны посетителя почти невозможно, так как нет технологий, которые могли бы свидетельствовать о том, что замена IP произведена злоумышленниками, а не администрацией ресурса. Взломанные регистраторы пока выдерживают тактику молчания, не подтвердив и не опровергнув сведения. Но посмотревчерез сервис Whois параметры фигурирующих в атаке доменов, видно, что их параметры вчера были изменены.
Представители группы Turk Guvenligi также утверждают, что в конце августа был осуществлен взлом корейского регистратора Gabia.com, в результате которого удалось получить контроль над более 100 тыс. доменов и 350 тыс. пользовательских аккаунтов. В качестве подтверждения факта взлома приводится скриншотвнутреннего административного интерфейса Gabia.com.
Кроме того, в анонимном интервью изданию Guardian представители группы сообщили, что кроме Netnames.co.uk и Ascio были взломано еще несколько регистраторов. Цель атаки была выбрана почти случайно, атакующие задались целью показать возможность взлома крупнейших ресурсов, выбрали несколько ресурсов и начали из изучение. Вначале была предпринята попытка прямой атаки и осуществлен поиск возможных уязвимостей в web-движках жертв, но не найдя таких уязвимостей, атакующие переключились на изучение возможности взлома регистраторов доменов.