Due giorni fa, un gruppo di cracker chiamato KDMS ha attaccato i siti web di WhatsApp, AVG e Avira, sostituendo la home page con un’immagine e un messaggio contro l’occupazione della Palestina da parte di Israele. I servizi delle tre aziende non sono stati compromessi, quindi gli utenti non hanno notato nulla di strano. Come ipotizzato, i cybercriminali hanno preso di mira Network Solutions, il provider che fornisce a WhatsApp, AVG e Avira il servizio di hosting. La tecnica utilizzata dai cracker è nota con il nome di DNS hijacking.
La natura dell’attacco informatico era quindi comune alle tre software house e Avira ha fornito maggiori informazioni tecniche sull’accaduto. Network Solutions, come qualsiasi service provider, effettua la risoluzione dei nomi di dominio utilizzando uno o più server DNS. L’account usato da Avira per gestire i record DNS ha ricevuto una falsa richiesta di reset della password, che il provider ha onorato. I cracker palestinesi hanno quindi effettuato l’accesso e modificato gli indirizzi IP del DNS per puntare verso i server sui quali era ospitata l’immagine usata per il defacing del sito.
Come misura di sicurezza, Avira ha disattivato tutti i servizi esterni, in attesa di rientrare in possesso dei record DNS, cosa che è avvenuta qualche ora più tardi. Nessun prodotto dell’azienda è stato compromesso. La distribuzione degli update è continuata regolarmente, in quanto i server non sono ospitati da Network Solutions.
I dati degli utenti sono rimasti al sicuro durante l’attacco e nessun codice infetto è stato inviato ai computer dei visitatori del sito.