Η GoDaddy λέει ότι μια πολυετής παραβίαση καταχράστηκε ιστότοπους και λογαριασμούς πελατών

[nnn]

Η GoDaddy δήλωσε την Παρασκευή ότι το δίκτυό της υπέστη πολυετή παραβίαση της ασφάλειας που επέτρεψε σε άγνωστους επιτιθέμενους να κλέψουν τον πηγαίο κώδικα της εταιρείας, τα διαπιστευτήρια σύνδεσης πελατών και εργαζομένων και να εγκαταστήσουν κακόβουλο λογισμικό που ανακατευθύνει τους ιστότοπους των πελατών σε κακόβουλους ιστότοπους.

Η GoDaddy είναι ένας από τους μεγαλύτερους καταχωρητές domains στον κόσμο, με σχεδόν 21 εκατομμύρια πελάτες και έσοδα το 2022 σχεδόν 4 δισεκατομμύρια δολάρια. Σε καταγγελία που υπέβαλε την Πέμπτη στην Επιτροπή Κεφαλαιαγοράς, η εταιρεία ανέφερε ότι τρία σοβαρά συμβάντα ασφαλείας που ξεκίνησαν το 2020 και διήρκεσαν έως το 2022 πραγματοποιήθηκαν από τον ίδιο εισβολέα.

"Με βάση την έρευνά μας, πιστεύουμε ότι αυτά τα περιστατικά αποτελούν μέρος μιας πολυετούς εκστρατείας από μια εξελιγμένη ομάδα απειλών που, μεταξύ άλλων, εγκατέστησε κακόβουλο λογισμικό στα συστήματά μας και απέκτησε κομμάτια κώδικα που σχετίζονται με ορισμένες υπηρεσίες εντός της GoDaddy", ανέφερε η εταιρεία. Η κατάθεση ανέφερε ότι η έρευνα της εταιρείας βρίσκεται σε εξέλιξη.

Το πιο πρόσφατο περιστατικό συνέβη τον περασμένο Δεκέμβριο, όταν ο δράστης απειλής απέκτησε πρόσβαση στους διακομιστές φιλοξενίας cPanel που χρησιμοποιούν οι πελάτες για τη διαχείριση των ιστότοπων που φιλοξενούνται από την GoDaddy. Στη συνέχεια, ο δράστης απειλής εγκατέστησε κακόβουλο λογισμικό στους διακομιστές που "ανακατευθύνει κατά διαστήματα τυχαίους ιστότοπους πελατών σε κακόβουλους ιστότοπους".

"Έχουμε αποδείξεις, και η υπηρεσία επιβολής του νόμου έχει επιβεβαιώσει, ότι αυτό το περιστατικό πραγματοποιήθηκε από μια εξελιγμένη και οργανωμένη ομάδα που στοχεύει σε υπηρεσίες φιλοξενίας όπως η GoDaddy", έγραψαν αξιωματούχοι της εταιρείας σε ξεχωριστή δήλωση που δημοσιεύθηκε την Πέμπτη. "Σύμφωνα με τις πληροφορίες που έχουμε λάβει, ο προφανής στόχος τους είναι να μολύνουν ιστότοπους και διακομιστές με κακόβουλο λογισμικό για εκστρατείες phishing, διανομή κακόβουλου λογισμικού και άλλες κακόβουλες δραστηριότητες".

Translated with www.DeepL.com/Translator (free version)

Πηγή : ArsTechnica

[tsigarid]

Αυτό ακούγεται πολύ σοβαρό...

[Pixel 57]

Πολυετής... μωρε μπράβο. Αν όντως για χρόνια μόλυναν πελάτες προφανώς είναι πολύ σοβαρό.

[bxenos]

Σε cpanel βρηκα και σε καποιες σελίδες στην Ελλάδα με καταλληξη .com να υπάρχει shadow προωθηση ολων των email των καταχωρημενων ιστοσελίδων (σε διαφορα range brothes***@gmail.com).
Αρα, εφοσον ειχαν αποκτησει πρόσβαση σε επίπεδο cpanel ειχαν και τα κλειδια των ιστοσλιδων.

Μαλιστα σε επικοινωνια με τη google και με τον καταχωρητη για δυο τετοιους λογαρισμους με ενημερωσαν οτι ηταν ενεργοί για δυο χρονια σχεδον ο καθενας. Τους εκλεισαν φυσικα αλλα για δυο χρονια καποιοι εβλεπαν ολα τα εισερχόμενα και εξερχόμενα emails

[Zus]

Πρέπει να μοίρασαν πολλά μαμουνια τα καθαρά domain.

[Freak]

Να αλλάξετε όνομα τότε από GoDaddy σε GoHome και να το κλείσετε το μαγαζάκι σας, αφού είστε τόσο ανίκανοι

[gvard]

Σε cpanel βρηκα και σε καποιες σελίδες στην Ελλάδα με καταλληξη .com να υπάρχει shadow προωθηση ολων των email των καταχωρημενων ιστοσελίδων (σε διαφορα range brothes***@gmail.com).
Αρα, εφοσον ειχαν αποκτησει πρόσβαση σε επίπεδο cpanel ειχαν και τα κλειδια των ιστοσλιδων.

Μαλιστα σε επικοινωνια με τη google και με τον καταχωρητη για δυο τετοιους λογαρισμους με ενημερωσαν οτι ηταν ενεργοί για δυο χρονια σχεδον ο καθενας. Τους εκλεισαν φυσικα αλλα για δυο χρονια καποιοι εβλεπαν ολα τα εισερχόμενα και εξερχόμενα emails

Το εν λόγω δεν έχει σχέση με την επίθεση που αναφέρει αυτό το άρθρο. Έχει τύχει να την πατήσουν πελάτες μας με συγκεκριμένο τρόπο:

-Λήψη e-mail πως έχει γεμίσει ο χώρος τους ή πως θα γίνει διαγραφή του e-mail τους και παραπομπή σε link
-Στο εν λόγω link δίνουν τα στοιχεία του e-mail (user/pass) με σκοπό να γίνει "αύξηση" χώρου ή "διατήρηση" του e-mail
-Κάνουν είσοδο με τα στοιχεία που μάζεψαν από τους πελάτες
-Προσθέτουν την προώθηση σε e-mail που ανέφερες
-Παρακολουθούν τα e-mail και αν δουν κάτι σχετικό με χρήματα κάνουν intercept τη συζήτηση δημιουργώντας παρόμοιο e-mail και απαντάνε στον αγοραστή διατηρώντας το quoted μήνυμα (ώστε να νομίζει πως μιλάει με τον πωλητή) δίνοντας δικό τους IBAN*
-Παίρνουν τα χρήματα και εξαφανίζονται

*=Ο αγοραστής δεν ελέγχει αν λείπει 1 γράμμα από το e-mail, βλέπει την αρχική συζήτηση και θεωρεί πως είναι αυτός που μιλούσε. Το IBAN είναι τρίτου θύματος που έχει λάβει e-mail του στυλ "ψάχνουμε άτομο να αναλάβει την διαχείριση των οικονομικών, θα μας περάσεις τα χρήματα σε 10-20 IBAN και κρατάς το 20%" κ.ο.κ.

Πληροφορίες μπορείς να βρεις στο http://web.archive.org/web/201611190...mid=1789&lang=

Αυτό με τα e-mail είναι καθαρά λάθος του πελάτη που δίνει τον κωδικό του και είναι άσχετο με την εν λόγω επίθεση στα sites. Εμείς πχ πλέον στέλνουμε αυτοματοποιημένα e-mail αν γίνει είσοδο στο webmail από χώρα που δεν μας έχει εξουσιοδοτήσει ο πελάτης, νέο e-mail αν μπει forwarder και απενεργοποιούμε τους κωδικούς τους για ασφάλεια. Πλέον ο κόσμος έχει μάθει να ξεχωρίζει τα εν λόγω e-mail αλλά όλο και κάποιος την πατάει.

[Zus]

Να αλλάξετε όνομα τότε από GoDaddy σε GoHome και να το κλείσετε το μαγαζάκι σας, αφού είστε τόσο ανίκανοι

Παίζει να το ξεφτίλησαν το MTTI οι τύποι.

[bxenos]

Το εν λόγω δεν έχει σχέση με την επίθεση που αναφέρει αυτό το άρθρο. Έχει τύχει να την πατήσουν πελάτες μας με συγκεκριμένο τρόπο:

-Λήψη e-mail πως έχει γεμίσει ο χώρος τους ή πως θα γίνει διαγραφή του e-mail τους και παραπομπή σε link
-Στο εν λόγω link δίνουν τα στοιχεία του e-mail (user/pass) με σκοπό να γίνει "αύξηση" χώρου ή "διατήρηση" του e-mail
-Κάνουν είσοδο με τα στοιχεία που μάζεψαν από τους πελάτες
-Προσθέτουν την προώθηση σε e-mail που ανέφερες
-Παρακολουθούν τα e-mail και αν δουν κάτι σχετικό με χρήματα κάνουν intercept τη συζήτηση δημιουργώντας παρόμοιο e-mail και απαντάνε στον αγοραστή διατηρώντας το quoted μήνυμα (ώστε να νομίζει πως μιλάει με τον πωλητή) δίνοντας δικό τους IBAN*
-Παίρνουν τα χρήματα και εξαφανίζονται

*=Ο αγοραστής δεν ελέγχει αν λείπει 1 γράμμα από το e-mail, βλέπει την αρχική συζήτηση και θεωρεί πως είναι αυτός που μιλούσε. Το IBAN είναι τρίτου θύματος που έχει λάβει e-mail του στυλ "ψάχνουμε άτομο να αναλάβει την διαχείριση των οικονομικών, θα μας περάσεις τα χρήματα σε 10-20 IBAN και κρατάς το 20%" κ.ο.κ.

Πληροφορίες μπορείς να βρεις στο http://web.archive.org/web/201611190...mid=1789&lang=

Αυτό με τα e-mail είναι καθαρά λάθος του πελάτη που δίνει τον κωδικό του και είναι άσχετο με την εν λόγω επίθεση στα sites. Εμείς πχ πλέον στέλνουμε αυτοματοποιημένα e-mail αν γίνει είσοδο στο webmail από χώρα που δεν μας έχει εξουσιοδοτήσει ο πελάτης, νέο e-mail αν μπει forwarder και απενεργοποιούμε τους κωδικούς τους για ασφάλεια. Πλέον ο κόσμος έχει μάθει να ξεχωρίζει τα εν λόγω e-mail αλλά όλο και κάποιος την πατάει.

Σε δυο περιπτωσεις που γνωρίζω με λεπτομέρεια (τους τα ειχα στησει πριν χρονια, αλλα με την κριση σταματησαν την υποστηριξη): Οι υπαλληλοι δεν ξεραν τους κωδικους τους. Επισης, υπηρχαν και κρυφοι/ανενεργοι email accounts. Και αυτοι οι ανενεργοι ειχαν προωθηση. Δεν υπηρξαν οικονομικες ατασθαλιες. Η τροποποιηση εγινε σε επιπεδο cpanel. Οχι σε λογαριασμό χρηστη μονο. Δεν ειχαν κωδικους για τα cpanel/web admin. Οι κωδικοι ηταν συνθετοι.
Τα εισερχόμενα /εξερχομενα email αποθηκευοντουσαν σε καποιον τοπικο υπολογιστη για να υπαρχει ολο το ιστορικο για μελλοντικη χρηση. Δεν βρεθηκαν απαντησεις σε παραπλανητικα email.
Δεν ξερω αν το προβλημα εχει σχεση με τη godaddy ή με ελληνα καταχωρητη.