Ciekawy przypadek porwania domeny perl.com

Pod koniec stycznia 2021 na Twitterze pojawiły się niepokojące wieści dotyczące zmiany danych właściciela perl.com, domeny poświęconej popularnemu niegdyś językowi programowania Perl.

Wyglądało na to, że domena w nagły i niespodziewany sposób zmieniła posiadacza i została przeniesiona na inny serwer niż ten na którym była dotychczas hostowana.

Z reguły rzeczy takie mają miejsce w dość rzadkich przypadkach kiedy to firma (lub osoba prywatna) zapomni przedłużyć ważność domeny i traci prawa do bycia jej właścicielem. To z kolei powoduje, że nazwa danej strony internetowej powraca do puli dostępnych domen, skąd może zostać błyskawicznie pozyskana przez kogokolwiek kto zechce ją wykupić.

Tak właśnie stało się przed laty z domeną Microsoftu hotmail.co.uk; stało się tak też z domeną Foursquare, jak również z kilkoma innymi, mniej lub bardziej znanymi podmiotami na przestrzeni ostatnich lat.

Jednak jeżeli chodzi o perl.com, nastąpiło coś zupełnie innego.

WROGIE PRZEJĘCIE

Strona była uprzednio hostowana przez Network Solutions LLC na serwerach Bitnames. Nagłym trafem, w dniu 30 grudnia 2020, domena perl.com zmieniła posiadacza na chiński serwis rejestracji domen Bizcn.com.

Dnia 27 stycznia 2021 rejestratorem domeny została natomiast niemiecka firma hostingowa Key-Systems GmbH. Warto zauważyć również, że zmieniły się serwery – z Bitnames na Afternic (te ostatnie wydają się należeć do firmy GoDaddy).

źródło: https://www.domaintools.com/ 

źródło: https://securitytrails.com/

Doszło do klasycznego porwania domeny. 

Porwanie takie następuje w momencie nieuprawnionej zmiany konfiguracji DNS i danych rejestracyjnych strony internetowej. Zasadniczo rzecz biorąc, rozwiązywanie nazwy domeny jest przeprowadzane przez nieuprawniony do tego serwer DNS.

Przez uzyskanie nieautoryzowanego dostępu do hostingu, atakujący dokonuje zmiany danych zarejestrowanego uprzednio właściciela i przejmuje kontrolę nad domenami będącymi dotychczas w posiadaniu ofiary.

NARZĘDZIA DO ANALIZY OSINT

Warto podkreślić, że zawartość przechwyconej w ten sposób strony internetowej może ulec całkowitej zmianie – lub też może wcale się nie zmienić. Można stosunkowo łatwo sklonować zawartość poprzedniej wersji strony i udawać, że nie nastąpiły żadne zmiany, po uprzednim wprowadzeniu na stronę złośliwego kodu wymierzonego przeciwko niczego nie spodziewającym się użytkownikom.

Istotną sprawą jest fakt, że zmiany w hostingu strony oraz w rekordach DNS nie zawsze są odzwierciedlone przez zmiany na samej stronie, zatem poleganie na zasobach takich jak The Wayback Machine albo Urlscan nie zawsze będzie w tym względzie pomocne. Należy natomiast skupić się na badaniu historycznych rekordów DNS.

Nawiasem mówiąc jest to bardzo pomocny punkt zaczepienia podczas analizy OSINT jakichkolwiek stron internetowych czy adresów IP.

Niektóre z zasobów, które okazały się pomocne przy analizie historycznych rekordów DNS strony perl.com były:

• Security Trails – ogólnie jest to płatne narzędzie, ale po zarejestrowaniu się jako użytkownik otrzymujemy dostęp do darmowych opcji, które w dużej mierze będą w pełni wystarczające do uzyskania pomocnych informacji.
• WhoIS Request – darmowe narzędzie webowe, pozwala na śledzenie zmian w nazwach serwerów od roku 2002, dla najbardziej popularnych domen najwyższego poziomu.
• Complete DNS – kolejne darmowe narzędzie webowe, z opcją płatną, jednak wcale nie konieczną.
• Spyse – oferuje sporo przydatnych informacji, jednak historia DNS bywa niekompletna. Zaleca się używanie w połączeniu z innymi narzędziami oraz porównanie wyników wyszukiwania w celu uzyskania brakujących danych.

SZYBKI ZAROBEK… CZY COŚ INNEGO?

Między 28 stycznia a 5 lutego 2021 strona perl.com nie ładowała się tak jak powinna (pusty ekran). Dane osobowe nowo zarejestrowanego właściciela strony nie były dostępne publicznie, co było znaczną zmianą po poprzednim transparentnym właścicielu, którym był Tom Christiansen. Nowy właściciel był osobą anonimową, pozornie rezydującą w Kiszyniowie w Mołdawii (niestety, nie jest to w 100% pewne).

W międzyczasie również okazało się, że domena perl.com została wystawiona na sprzedaż poprzez listing aukcyjny domen na Afternic:

Pierwotny URL do listingu (już nieaktywny):

https://www.afternic.com/listings/drawmaster

UWAGA: Ta nazwa użytkownika może sama w sobie dać asumpt do grubszej analizy OSINT, coś co na obecnym etapie nie było poruszane. Biorąc pod uwagę fakt, że istnieją pewne poszlaki łączące tę osobę z Mołdawią, a jest to kraj dwujęzyczny, rosyjsko-rumuński, logicznym byłoby skoncentrowanie się na przeszukaniu źródeł rosyjskich i rumuńskich pod kątem nicku “drawmaster”.

Przykładowo:

https://dating.ru/drawmaster/

https://t.me/s/drawmaster

Nie twierdzę tutaj, że te konta mają coś wspólnego z tym incydentem, jednak jest to coś co należałoby sprawdzić – poświęcając temu przy tym dużo więcej uwagi badawczej, co z kolei może nie przynieść żadnych ostatecznych konkluzji.

W kwestii innych stron internetowych połączonych z porwaniem domeny perl.com, inni entuzjaści OSINTu dużo szybciej znaleźli i połączyli brakujące elementy układanki. Jedna z przekonujących teorii opublikowana na Domain Gang obwinia chińskich hakerów za skoordynowany atak na perl.com oraz inne domeny widoczne na powyższej liście stron wystawionych na sprzedaż – wszystko motywowane chęcią szybkiego zarobku.

ZŁOWROGI ADRES IP

Cały ten atak wyglądał zatem na wyszukane oszustwo, którego celem był szybki zarobek, kosztem osoby naiwnej na tyle aby wydać sześciocyfrową sumę na nazwę domeny, która ostatecznie może zostać przywrócona prawowitemu właścicielowi (o tym jak takie restytucje są możliwe – linkuję na końcu).

Pozostał jednak jeszcze jeden obszar do przeanalizowania pod kątem tego co się stało – adres IP powiązany z domeną perl.com podczas całego okresu jej przwchwycenia:

Okazało się, że adres IP 35.186.238.101 w istocie posiadał złą reputację, według następujących źródeł:

• https://talosintelligence.com/reputation_center/lookup?search=35.186.238.101
• https://www.virustotal.com/gui/ip-address/35.186.238.101/detection
• https://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a35.186.238.101&run=toolpage

Mógł to być przypadkowy zbieg okoliczności i całkiem możliwe, że atakujący kierował się tylko chęcią zarobku – ale również jest całkiem możliwe, że planowano coś bardziej złowieszczego; szczególnie zważywszy na fakt, że inne strony internetowe powiązane z tym samym adresem IP były w przeszłości związane z rozpowszechnianiem spamu, malware’u oraz ransomware’u.

SZCZĘŚLIWE ZAKOŃCZENIE

Na szczęście dla prawowitego właściciela perl.com oraz całej społeczności użytkowników Perla, rekord hosta DNS powrócił w ręce uprawnionej osoby.  

Jak do tego doszło? Prawowity właściciel skontaktował się z firmą hostującą skradzioną domenę i rozpoczął proces dokumentowania faktu, że stał się ofiarą ataku i że domena pierwotnie należała do niego (robił to z pomocą kilku innych osób ze środowiska Perla). Domena oraz proces aukcyjny zostały na ten czas zawieszone w celu zapobieżenia kolejnemu oszustwu.

Jednak w związku ze wszystkim co miało miejsce, mogą nadal zdarzyć się problemy z poprawnym rozwiązywaniem DNS-u.

Brian Foy, który pierwotnie nagłośnił publicznie incydent na Twitterze, stworzył issue na Githubie gdzie zamieścił aktualizację i gdzie prosi użytkowników o zgłaszanie jakichkolwiek problemów pojawiających się przy odwiedzaniu strony:

“Verisign przywrócił DNS w dniu 2 lutego, ale różne serwery mogą przywoływać DNS z zawartości cache’a albo robić z nim sinkhole. Chcę wiedzieć czy w różnych częściach świata pokazują się ludziom różne rezultaty. Kciuk w górę jeśli widzisz poprawne wyniki. Skomentuj jeśli widzisz cokolwiek innego.”

Poprawne informacje DNS dla perl.com powinny wygladać tak:

PS. Przydatne informacje od ICANN na temat tego co robić w wypadkach porwania domen oraz dlaczego dokumentacja jest tak bardzo istotna w procesie restytucji domeny można znaleźć tutaj.

Maciej Makowski, www.osintme.com