Allvarligt fel hos NameSRS

Uppdatering 1: Det verkar som om domänpekningarna är legitima (och ingår i en kampanj via NameISP eller ) men att .se råkade följa med i bara farten.

Uppdatering 2: NameISP har nu bekräftat via telefon att det var mänskliga faktorn som låg bakom och inget intrång.

Uppdatering 3: .se och .se var ej påverkade av detta fel hos NameISP. Även värt att påpeka i sammanhanget är att registraren är Sveriges näst största.

Under natten så hackades eller så genomförde någon en stor miss hos domänregistraren NameSRS vilket fick till följd att cirka 11478 .se-domäner pekades om. Bland domänerna som pekades om fanns Blocket.se som under cirka 2h visade en helt annan webbsida:

Förutom att namnservarna var ändrade så ändrades också mailpekaren till följande mailserver:

  • mx224.m2bp.com (206.53.239.77, IQuest Internet)
  • mx224.mb1p.com (206.53.239.75, IQuest Internet)

Att mailpekare ändrades får till följd att det troligtvis varit möjligt för en obehörig att återställa lösenord för tredjepartstjänster samt ta del av E-post som skickats till domänerna.

Och tittar vi på whois-information gällande Blocket.se såg det ut enligt följande, observera namnservrarna:

Förutom Blocket.se så används NameSRS av bl.a. krisinformation.se samt msb.se, oklart huruvida dessa varit påverkade av just detta.

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

10 comments

  1. Anders Larsson

    Det verkar inte rimligt att NameISP / Name SRS skulle välja att använda domäner som inte ägs av dem utan är registrerade av personer/bolag i Turkiet och Belgien för att göra en ”marknadskampanj”.

  2. Jonas Lejon

    Jonny: Jag har uppdaterat inlägget nu när vi konstaterat att det inte gäller samtliga domäner hos NameSRS. Men fortfarande har msb.se och krisinformation.se NameSRS som registrar.

  3. Jonas Lejon

    Anders: Det har jag inte hittat? Jag syftar på ”we-have-500000-se-nu-domains.tool-domains.com” samt att NameISP just nu har det på sin Facebook-sida.

  4. Anders Larsson

    Att domänen too-domains.com har dessa uppgifter:

    Registry Registrant ID: Not Available From Registry
    Registrant Name: Kalin Karakehayov
    Registrant Organization:
    Registrant Street: 19 Koziak
    Registrant City: Sofia
    Registrant State/Province: Sofija-Grad
    Registrant Postal Code: 1407
    Registrant Country: BG
    Registrant Phone: +359.359884632528

  5. Anders Larsson

    Självklart, men varför skulle NameSRS välja att använda en kunds domän som DNS-server-adress? Dessutom ett bolag som verkar syssla med warehousing och tveksamma domänaffärer.

  6. Anders Larsson

    Min senaste teori är att det kanske faktiskt är ett tekniskt haveri snarare än ett aktivt hack.

    Jag har gjort stickprov på många av de andra domänerna som har samma DNS server. Alla de jag har tittat på har samma innehavare och alla har tidigare haft en text om att domänen är till salu.

    Om det var en aktiv MITM attack är den amatörmässigt utförd.

    Det som är märkligt är att all DNS data för de andra domänerna nu är helt tomma. Ingen data alls. Det är också märkligt att den tidigare innehöll referens till Blockets NS servrar.

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>