تحليلات أمنيةمواضيع ومقالات

تحليل : إختراق مواقع metasploit , leaseweb , AVG , whatsapp , rapid7

تم أرشفة هذا المحتوى


شهدت الفترة الأخيره إختراقات من العيار الثقيل لمواقع مشهورة مثل metasploit , leaseweb , AVG , whatsapp من قبل فريق KDMS الذي يشغل حديث الساحه العالمية حالياً بالإنجازات التي قدمها هذا الفريق الذي أثبت وجوده على الساحه وأثبت أن الهاكر العربي على مستوى عالي من الإحترافية وتمكن من إختراق مواقع مشهورة على الساحه العالمية من أبرزها بوجهة نظري شركة Rapid7 التي تعد من أقوى الشركات المصنعه لبرمجيات أمن المعلومات في العالم والتي إستحوذت على مشروع metasploit , كما أنه تم إختراق موقع metasploit.com أيضاً من نفس الفريق , وسوف نأتي بعد قليل لتفصيل هذه الإختراقات والتكلم عنها أكثر ولكن في البداية دعونا نتعرف قليلاً على هذا الفريق :

فريق KDMS هو فريق هاكر فلسطيني حديث العهد على ساحة الإنترنت , قام بالكثير من الإختراقات لمواقع مشهورة سوف نتعرف عليها خلال هذا المقال , فريق برأيي يتمتع بخبره عاليه وإحترافيه في مجال أمن المعلومات وبالطبع يشكل تهديد واضح على أي موقع وأي شركة موجودة على شبكة الإنترنت , حيث لاحظنا أن هذا الفريق يعمل بشكل أساسي على إختراق الداتا سنتر وإختراق مزودي الخدمة بشكل مباشر , ويتبع طرق حديثه في الهجوم على المواقع أبرزها هجمات  DNS hijacking.

حسناً , بعد ما تعرفنا على الفريق دعونا الأن نبدأ بتحليل الإختراقات من الأقدم إلى الأحدث وسوف نبدأ بشركة Leaseweb وهي من أكبر الشركات الخاصه بإستضافة المواقع بالعالم , تم إختراقها في تاريخ 05/10/2013 حيث قام الفريق بتغير الصفحه الرئيسية للموقع , ويشار هنا إلى أن الهجوم تم من خلال  DNS hijacking وهي هجمة تؤدي إلى تغير دومين الموقع ليؤدي إلى مساحه أخرى غير التي تم ربط الدومين بها , وهذا ما صرحت به الشركة من خلال هذه التدوينة , كما صرحت الشركة بأنه لم يكون هنالك أي تسريب لمعلومات العملاء أو بيانات بطاقات الإئتمان الخاصه بالعملاء وإنما الهجوم كان فقط  DNS hijacking , ولكن فريق KDMS زعم بأنه تمكن من الوصول إلى جميع السيرفرات الخاصه بالشركة من خلال مراسلته لموقع the hacker news وهذا نص الرسالة :

We owned Leaseweb  Servers and kept some of their servers for us. But we only changed the DNS Server for now, because we faced some problems with the company website. Here, all what we need .. is to add our signature on their homepage to prove that there is not Completely Secure. If we can pwn them, we can hack other big providers too.,”

ترجمة الرسالة أن الفريق قد قام بالسيطره على سيرفرات الشركة كاملة وأبقوا بعض السيرفرات الخاص بالشركة لهم وهم فقط قاموا بتغير عناوين DNS الخاصة بالموقع لأنه واجهو بعض المشاكل مع موقع الشركة , وهم أرادو أن يضعوا بصمه لهم على الصفحه الرئيسية لموقع الشركة ليبرهنوا أن الموقع غير محمي بشكل كافي , وأنهم كما قاموا بإختراق الشركة يستطيعون إختراق شركات مزوده لمثل هذه الخدمات أيضاً.

(الصورة منقولة من موقع the hacker news)

ولكن بوجهة نظري أن الفريق قام بإنجاز رائع وهو عمل  DNS hijacking على الشركة ولكنهم لم يقوم بالإستحواذ على السيرفرات كاملة , لأنه لو بالفعل قاموا بالإستيلاء على سيرفرات الشركة لكان هنالك على أقل تقدير نشر لبعض المعلومات حول عملية الإستيلاء كما هو المعروف أو مثلاً إختراق كبرى المواقع الموجوده ضمن هذه الإستضافه وهذا ما سنكشتفه أثناء التحليل.

نأتي الأن للإختراق الثاني وهو إختراق موقع whatsapp وكان في تاريخ 08/10/2013 , وسبب هذا الإختراق رد فعل مثير للجدل لدى مستخدمين هذا البرنامج , حيث ظن البعض أن هذا الإختراق قد يضر المستخدمين من حيث تسريب معلومات , ألغاء حسابات , أو أي أمور تخريبيه أخرى , ولكن بعد ما تم التحقيق بحادثت الإختراق تم التأكد من أن الهجمة كانت DNS hijacking أيضاً ! إذاً الفريق قام بالسيطرة على بعض النطاقات الخاصة بالمواقع الكبيرة والتحكم بها سواء كان من نفس المزود أو من مزود أخرى ! دعونا نرى الأن إن كان دومين whtasapp مملوك من قبل شركة Leaseweb أم لا :

من خلال موقع who.is نستنتج أن الدومين www.whatsapp.com مملوك من قبل شركة NETWORK SOLUTIONS وأيضاً نستنتج أن الإستضافة مملوكة من قبل SOFTLAYER بالتالي نستنتج أنه لا يوجد علاقه لإختراق شركة Leaseweb بإختراق whatsapp كما يظن البعض ! لأن الدومين مأخوذ من شركة والإستضافة من شركة أخرى بالتالي إحتمالية ان يكون لشركة Leaseweb علاقه بإختراق موقع whatsapp كما يظن البعض هي 0% , وسوف نرى العلاقات بين إختراق المواقع السابقة مع شركة Leaseweb وأيضاً مع شركات الإستضافه الكبيره لنضع بعض الإحتمالات الممكنه لعمليات الإختراقات التي حصلت.

 

وبالنسبة للإختراق الثالث فلقد تم إختراق موقع شركة مكافحة الفايروسات AVG بعد دقائق معدوده من إختراق موقع Whatsapp بهجوم DNS hijacking  , وبعد ما قمنا بالبحث عن ملكية دومين AVG وجدنا أنه متبوع أيضاً لشركة NETWORK SOLUTIONS وهذه الصورة توضح :

avg who is page

بالتالي هنالك مشكلة معينه داخل شركة NETWORK SOLUTIONS أدت إلى حدوث مثل هذه الإختراقات لمواقع كبيره وهذا يؤكد لنا أنه لم يكن هنالك وصول لسيرفرات شركة AVG و Whatsapp.

سوف نأتي الأن لأخر إختراقين وهما إختراق موقع شركة Rapid7 و موقع Metasploit وقعا بتاريخ اليوم 11/10/2013 وأيضاً كان الإختراق من خلال هجمات DNS hijacking , حيث صرح HDmoore مؤسس ومسؤول مشروع Metasploit الحالي أن الهجمه على موقع metasploit و Rapid7 كانت DNS hijacking وأنهم يحاولن حل هذه المشكلة بأسرع وقت ممكن عبر هذه التغريدة  , كما صرح أيضاً بأن سبب الإختراق كان من شركة Register.com  وهذا ما سوف نراه الأن.

لنأتي الأن لتحليل النطاقات الخاصه ب Rapid7 و metasploit ونرى إن كان هنالك تطابق بين الشركة المستضيفه.

هذه الصورة توضح أن نطاق شركة Rapid7 مملوك من قبل شركة REGISTER.COM.

Rapid7 whois

والأن سوف نحلل النطاق الخاص ب Metasploit ونرى الشركة المستضيفه للدومين.

Metasploit whois

كما نلاحظ أن الدومين metasploit.com مملوك أيضاً من قبل شركة REGISTER.COM وهذا يؤكد أن الإختراق للدومينات السابقة كان DNS  hijacking  سببه الشركة المستضيفه وهي شركة REGISTER.COM.

إذاً بعد هذه التحليلات البسيطه للإختراقات التي وقعت لشركة كبيره مثل هذه نستنتج عدة أمور منها :

  • إختراق شركة Leaseweb ليس له علاقه بإختراق باقي المواقع.
  • شركة NETWORK SOLUTIONS هي الشركة المسؤوله عن إختراق دومينات WHATSAPP و AVG.
  • شركة REGISTER.COM هي الشركة المسؤولة عن إختراق دومينات Metasploit و AVG.

أخيراً بدوري أرفع القبعه لهذه المجموعة لما لديها من خبره في مجال أمن المعلومات حيث إستطاعت أن تضرب مركز العمليات للمواقع دون الحاجه لإتباع طرق الإختراق التقليدية , وأيضاً وجب التنويه على ضروورة متابعة الدومينات الخاصه بكم إن كانت موجود على  NETWORK SOLUTIONS أو REGISTER.COM تقادياً لمثل هذه الإختراقات وإن شاء الله سوف نقوم بشرح هجمات DNS  hijacking خلال الأيام القادمه بإذن الله.

بعض المصادر التي إعتمدنا عليها بالحصول على المعلومات :

مقالات ذات صلة

‫26 تعليقات

  1. من القلب نشكرك يا صديق محمد على مجهودك الرائع
    وفريق قوي انا اتابع عن طريق الفيس بوك منذ ايام اخترقو موقع بنك وبعض المواقع الاخرى

    1. عذرا حج كولد
      لكن الصوره ليست دليل بالمره لوجود أكسس على ليز ويب
      الصوره لـnetwork management information system
      معتقدش تدي اى اكسس على اى Node على ليز ويب!!
      حيرتنى بالاول المعلومات اللى موجوده عن كل node
      لكن بالنهايه وجدتها بتستخدم snmp للحصول على المعلومات المطلوبه مش أكتر
      بعض صور اخرى
      http://imageshack.us/scaled/large/542/in99.png
      http://imageshack.us/a/img834/8215/3yko.png
      لكن كما قلت ملهاش علاقه بالاختراق من قريب أو بعيد
      وبخصوص التحليل مع احترامى لناشره
      معتقدش انو قام باضافة جديد بأى حال من الاحوال
      ان شاء الله هناك تحليل أقوى سيتم نشره بالوقت المناسب
      متعلق بباتشات pdf , jar 😉
      خاصة
      “invoice2013-09-07_15-46-54-Customer Service.jar”
      ههه
      محادثات مع دعم فنى ومسجات مرسله لموظفى الدعم عن طريق SMTP
      مع تكست كامل لعملية اختراق بعض المواقع
      من ما قبل تحويل الـDNS
      وحتى
      http://img6.imageshack.us/img6/8507/mzpo.png
      xD
      تحليل مطول يعنى 😀
      لكن كل ده مينقصش اكيد من قوة الاختراقات
      بالتوفيق 🙂

  2. تحليل رائع .. وبحب أضيف توقع لنوع المشكلة في مواقع استضافة الدومينات ..
    أتوقع انها مشكلة في البوست داتا المرسلة في حالة طلب تعديل على بيانات الدومين من لوحة التجكم
    بحيث أنه السيرفر لا يقوم بالتأكد من ملكيتك للدومين في حال طلبت تعديل عليه ..
    بالتالي عليك أن تقوم بتحليل دقيق للداتا المرسلة ومن ثم خدعة برمجية صغيرة مع تعديل بسيط
    تمكنك من إقناع السيرفر بتغيير بيانات أي دومين مستضاف لدى نفس الشركة
    هذا النوع المتقدم من الثغرات بدأ في الظهور مؤخرا خصوصا في مواقع التواصل الإجتماعي مثل فيس بوك
    ولكنه يحتاج إلى خبراء في لغات البرمجة ويأتي بعد عمليات تحليل دقيقة وطويلة

    أوافقك الرأي فهم يستحقون أن نرفع لهم القبعة إحتراما وتقديرا
    تحياتي

  3. برأيي التحليل لم ياتي بجديد (مع انو ناقص كلام على ترادنت و الديفبونت) مع احترامي و تقديري
    الكل عارف انو تحايل دنس
    ومش محتاجه لا صور و لا مراجع
    يكفي المقارنه بين الايبيات المسجله في الزون اتش
    برايي المتواضع و استنادا لتاريخ الفريق في الزون اتش
    القصه واضحه زي الشمس : اختراق حواسيب المدراء
    و حتى الصوره اللي طلع بيها الكولدزيرو ما تاكد انو فيه تغره في السيسكو
    بس الكولد اكيد يحاول يغير مجرى التحليل بحكم انو هو شخصيا الحلقه الخفيه في الفريق
    احترامي للفريق المخترق و لك من مر من هنا

  4. مجهود تشكرون عليه ….. لكن برأيي التحليل ناقص …. نظرا لعدم التطرق الى كيفية تنفيذ الاختراقات او حتى وضع توقعات اعدد من الطرق الممكنة

  5. شكراً “محمد عسكر” على الاطراء .. وتحليل جميل
    لم ينفك المخترقون بالذهاب بعيدا والاجتهاد بتحليل اختراقاتنا في كل مواقع الاختراق والحماية العربية , بل لجأت بعض ادارات المنتديات الى اغلاق المواضيع التي تخص تحليل اختراقاتنا .. وكانت اجاباتهم اجابات مضحكة مبكية .. تدل على ضعف المخترقين العرب بالنسبة للاجيال السابقة .
    ولم نكن نرد على اي تحليل , ولكن عند رؤيتنا لتحليلك , ولأنه تحليل علمي و”أغلبها” ليست مبنية على الشك
    ولتحاول مرة أخرى ارتأينا ان نضع لك ردا على تحليلك ..:
    – ماذا كان قبل اختراق ليز ويب ؟ مشوارنا ” بغض النظر عن اختلاف الهدف ” بدأ قبل تاريخ 05/10/2013 بيومين
    – وكان ترايدنت احدى هذه المواقع .
    – DNS hijacking للشركة .. صحيح , ولا نزعم اننا نملك المعلومات .. بل نؤكد اننا نملك معلومات , ولكن دومين ليز ويب من اي شركة ؟
    – نؤكد “لا يوجد علاقه لإختراق شركة Leaseweb بإختراق whatsapp ”

    نتمنى ان تضع تحليلا آخر أوفى .. يشفي غليلنا .. ولا تتناسى اصغر الاشياء

    1. لا شكر على واجب 🙂 .. بالنسبة للنقاط أعزائي سوف أجاوبكم عليهم :

      – بالضبط كان هنالك إختراق لترايدنت و أيضاً منتدى يسمى نقطة التطوير وتم سحب المواقع كاملة ! لم أضع هذه بالتحليل في الحقيقة لأني ركزت على الإختراقات العالمية التي حيرت كبار الهاكرز والخبراء الأمنين في العالم.

      – نقطة دومين ليز ويب ذهبت عن فكري في الحقيقه 🙂 سوف أقوم بتحليل هذه النقطه خلال التحديث الثاني للتحليل بإذن الله.

      -بالضبط وهذا ما أكدته خلال المقال لبيان أن إختراق whatsapp كان منفصل كلياً عن Leaseweb.

      وإنتظروني في التحديثات القادمه 😉

    2. أخطر تحليل راح تسمعوه مني يا فريق Kdms

      موقع leaseweb مستضاف من قبل http://www.godaddy.com/

      كما هو حال .. register.com و NetworkSolutions

      يعني قبل الأباء .. الجد Godaddy

      لا أريد أن أشرح بالتفصيل .. أترك حرية التحليل لمن أراد

      انا من المافيا المعلوماتية الجزائرية وان شاء الله اتمنى لكم المزيد من النجاح والتوفيق

      سلام الله

  6. اتمنى اعاده التحليل من الاول و الابتعاد قدر المستطاع عن العموميات
    و التعمق اكثر في التفاصيل
    لان ما حدث فعلا بصمه قويه لا يمكن ان تمر بسهوله
    و اعيد آكد على كلامي اللي فوق
    الاختراق بنسبه قويه اختراق اجهزه
    احترامي لكل من مر من هنا

  7. كنا نضن أن العرب ليست لديهم القدرة التقنية للأختراق هذه المواقع ولكن كنا مخطأين و قدرة العرب أعلى بكثير مما يتصور البعض و شكرا على التحليل العلمي و نحن في انتضار الشرح عن الهجمة الغير تقليدية 🙂

  8. تحليل خاطئ أخي عسكر , التغرة عبارة عن csrf في whmcs من خلالها تم الدخول الى اللوحة وتغير dns الخاص بالمواقع المذكورة , ﻻعلاقة لهجومات dns hijacking , بالتوفيق

  9. تحليل رآئع يآ بطل ..
    DNS hijacking ..
    من الجدير بالذكر أنه أغلب المواقع الضخمة يتم اختراقها بهذه الطريقة .. انقرضت ثغرات السكريبتات وثغرات برامج السيرفرات !
    حتى Twitter لم يسلم ..
    كانت سنة حافلة بالاختراقات .. أتمنى أن أتمكن من العودة الى الساحة قبل انطفاء الشعلة ..

  10. عجبي ممن لا يأتي بالجديد ويقلل من إحترام صاحب المقال
    ربي يحفظك ويبارك فيك أستاذ محمد عسكر
    وكفاك أن المحموعة شكرتك على صفحتها الخاصة في الـFB.
    ودي وتقديري.

  11. شكرا لك محمد عسكر
    اعتقدت انا ايضا انه ليس اختراق للموقع وانما مجرد رفع اندكس يمكن لتوصيل رسالة مثل ماتم اختراق جوجل
    ولكن هل يوجد اي اي شرح في موقع اي سكورتي لهذه الثغرة التي يخترقون بها ؟؟؟
    وايضا في هذه الفترة الاخيرة لحظنا اختراق مواقع كبيرة جدا والدخول الى قواعد بياناتها مثل التانجو ؤالفيس بوك والتويتر والياهو من قبل الجيش السوري الالكتروني
    فهل يوجد تحليل لثغرة الجيش السوري الالكتروني التي تم عبرها الوصول الى قواعد بيانات مواقع التواصل الاجتماعي واختراق شركة مارك ؟
    ونريد شرح للثغرة الاولى ان امكن
    وشكرا

  12. تحليل صفر على الشمال , احترامي لكم ..
    كان الاختراق عن طريق الهندسة الاجتماعية بإرسال ملفات pdf ملغمة للدعم الفني .

    بالتوفيق

  13. لو سمحت سؤالي هل يوجد اختراق للوتس اب عن طريق شفره بدايتها xp وهل اقدر لو اخترقت الوتس اب اتحكم بجهاز المخترق كنه الجهاز معي
    احتاج اجابه لو سمحت حتى لو عن طريق الايميل للاهميه …. لان فيه وحده تتدعي انها تخترق عن طريق شفره تلصقها بمحادثه الوتس اب للمخترق وتقصها بعده تحطها بمتصفح او زي كذا وتخترق الجوال .. اذا الطريقه كذا ياليت تتواصلون معي على الايمل للاهميه

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى