اختطاف DNS لـ Lenovo.com: لما Lizard Squad سيطر على باب العملاق

في صباح يوم 25 فبراير 2015، الرابط الأكثر نقرًا على الإنترنت لأكبر شركة لصناعة أجهزة الكمبيوتر في العالم كان بيوصّل المستخدمين لعرض صور شباب زهقانين بيبصوا في ويب كاميراتهم، على إيقاع أغنية من فيلم High School Musical. محدش اخترق أي سيرفر من سيرفرات Lenovo. محدش سرق أي كلمة مرور من Lenovo. المهاجمون ما لمسوش المبنى، ولا الشبكة، ولا الموقع نفسه.

غيّروا سجل واحد بس عند شركة تسجيل النطاق الخاصة بالشركة — وده كان كافي إنهم يسيطروا على باب Lenovo الأمامي، ويحوّلوا بريدها، ويحوّلوا العلامة التجارية لمصدر سخرية طول فترة الظهيرة.

ده هو Domain Mayday EP17: اختطاف DNS لـ Lenovo.com. القصة صغيرة من ناحية الأرقام — بضع ساعات انقطاع، مفيش أنظمة إنتاج انخترقت، مفيش قاعدة بيانات عملاء اتسربت. لكنها واحدة من أوضح العروض اللي اتعملت يومًا على درس معظم الشركات لسه بتفهمه غلط: نطاقك بالأمان بقدر أمان شركة التسجيل اللي بتحتفظ بيه، وشركة التسجيل دي غالبًا مش جزء من برنامج أمانك أصلًا.

عملاق الأجهزة اللي نطاقه هو وجهه

بحلول 2015، كانت Lenovo أكبر شركة لصناعة أجهزة الكمبيوتر في العالم، بتشحن لاب توب وديسك توب أكتر من أي حد تاني على وجه الأرض. لشركة بالحجم ده، lenovo.com مش مجرد أصل تسويقي. ده المركز اللي بيشيل العملية كلها: المكان اللي العملاء بيشتروا منه، والمكان اللي بتيجي عليه تذاكر الدعم، والمكان اللي بتمشي منه تسجيلات الضمان — والأهم، النطاق اللي وراء كل عنوان @lenovo.com في الشركة.

لما علامة تجارية توصل لمستوى زي ده، النطاق بيبطّل يكون مجرد عنوان موقع ويصبح بنية تحتية. كل بيان صحفي، كل كرتون منتج، كل توقيع موظف، كل تأكيد طلب بيمشي عبره. وده معناه إن اللي بيتحكم في DNS النطاق ده، مش بس بيتحكم في الموقع — بيتحكم في الحقيقة عن المكان اللي lenovo.com بيشير ليه، للمتصفحات وسيرفرات البريد على حد سواء.

ده هو الجائزة اللي Lizard Squad راح ورايها. مش الموقع. البوصلة اللي بتشير ليه.

25 فبراير 2015: إعادة التوجيه الغريبة

تصوير فني ملون حيوي لواجهة زجاجية لشركة، لافتتها المضيئة اتاستبدلت بلافتة مزحة صاخبة خلال الليل، بألوان الوردي الفلوري والأزرق الكهربائي، وحشد من الناس بيبص للأعلى في ارتباك، من غير أي شعارات للعلامات التجارية

بداية من ذلك الظهر، الزوار اللي كتبوا lenovo.com ما وصلوش لـ Lenovo. الموقع اتاستبدل بعرض صور ويب كاميرا لشباب قاعدين على كمبيوتراتهم، بيبصوا في الكاميرا بنظرة فاضية ومحرجة نوعًا ما، على أنغام أغنية "Breaking Free" من فيلم High School Musical. The Register وصف المشهد نفسه على إنه عرض صور ويب كاميرا لشاب يبدو عليه الملل بدل منتجات الشركة الاعتيادية.

كان سخيفًا بشكل متعمد، والسخرية دي كانت هي الهدف. ده مكانش سرقة بيانات هادية هدفها إنها تفضل مخبية. ده كان إهانة علنية، منظمة على أكثر URL مرئي تمتلكه الشركة.

المصدر كان واضح للعيان. صفحة HTML البديلة نسبت بناءها "المُعاد تسمية والمحسّن" لـ Ryan King و Rory Andrew Godfrey — اسمين ربطهم المحققون على الإنترنت سريعًا بـ Lizard Squad، نفس الفرقة اللي قضت موسم الأعياد السابق في تعطيل PlayStation Network و Xbox Live. المجموعة أعلنت مسؤوليتها على Twitter، مقتبسةً كلمات أغنية High School Musical موجهةً إياها لـ Lenovo بلا مواربة.

وبعدين الأمور اتعقدت أكتر من كونها مجرد إحراج. لأن المهاجمين كانوا بيتحكموا في DNS الخاص بـ lenovo.com، ما كانوش بس بيمتلكوا الموقع — كانوا بيمتلكوا البريد كمان. كما قال أحد المصادر، الاختطاف معناه إنهم قدروا يعترضوا بريد Lenovo الإلكتروني كمان، لحين إيقاف إعادة التوجيه. لاحقًا نشر Lizard Squad رسالتين أُرسلتا لموظفين في Lenovo خلال الفترة اللي كانوا فيها متحكمين. واحدة منهم، في توقيت كوميدي سوداوي، كانت بتتكلم عن لاب توب Lenovo Yoga اللي "بظ" لما العميل حاول يستخدم أداة Lenovo الخاصة لإزالة برنامج اسمه Superfish.

التفصيلة دي هي الدافع كله في جملة واحدة.

السياق: قصة Superfish

عشان تفهم ليه Lenovo تحديدًا، لازم ترجع خمس أيام للوراء.

Superfish كان برنامج إعلانات Lenovo كانت بتحطه مع بعض أجهزتها من سبتمبر 2014. من الظاهر كان مجرد برنامج لحقن الإعلانات — برنامج بيدس إعلانات تسوق إضافية في متصفحك. لكن طريقة عمله كانت كارثية. عشان يحقن إعلانات في الصفحات المشفرة، Superfish نصّب شهادته الجذرية الخاصة عشان يقدر يدس إعلانات حتى في الصفحات المشفرة — بمعنى إنه كسر القفل اللي بيحمي HTTPS.

الأسوأ من كده إن الشهادة استخدمت نفس المفتاح الخاص على كل الأجهزة، وده المفتاح كان قابل للاختراق. أي مهاجم قدر يستخرجه كان يقدر ينتحل صفة أي موقع HTTPS لـ أي لاب توب Lenovo شغّال Superfish. ده مكانش عيبًا نظريًا. في 20 فبراير 2015، وزارة الأمن الداخلي الأمريكية نصحت بإلغاء تثبيته وشهادته الجذرية.

يعني في خلال أسبوع واحد، شركة بتبيع الأمان والثقة للمؤسسات كانت قد شحنت ملايين اللاب توبات بثغرة man-in-the-middle مدمجة فيها، وبعدين شافت أداة الإزالة الخاصة بيها تخرّب جهاز عميل واحد على الأقل. اختطاف Lizard Squad جه متأطَّرًا كاحتجاج — جرعة من دواءها الخاص بعد ضجة Superfish. عرض الويب كاميرا كان مسرحية. الرسالة كانت: أنتم كسرتوا التشفير لعملاءكم، فاحنا هنكسر بابكم الأمامي عنكم.

إزاي حصل: شركة التسجيل كانت هي نقطة الضعف

تصوير فني ملون حيوي للوحة تحكم مخترقة بمفاتيح توجيه متوهجة، يد في الظل تحول الباب الأمامي للعلامة التجارية وأنابيب البريد في اتجاه جديد مضيء بالنيون، بألوان التيل الكهربائي والماجنتا، من غير أي شعارات للعلامات التجارية

هنا الجزء اللي المفروض يخلّي مديري أمن المعلومات صاحيين: البنية التحتية الخاصة بـ Lenovo ما انخترقتش أبدًا.

المهاجمون راحوا للمُسجِّل بدلًا من كده. محللو الأمن تتبعوا الاختطاف لاختراق Web Commerce Communications — المعروفة بـ Webnic.cc، مسجِّل مقره ماليزيا. كما قالت Help Net Security، القراصنة ما اخترقوش سيرفرات Lenovo؛ بدلًا من كده اخترقوا سيرفرات Web Commerce Communications (Webnic.cc)، المسجِّل اللي كان مسجَّل عنده نطاق Lenovo.

مكانش ده أول أسبوع سيء لـ Webnic. قبلها بيومين بس، كان النطاق الفيتنامي لـ Google اتحوّل بنفس الطريقة. SecurityWeek لخّص الصلة بشكل صريح: Lizard Squad اختطف سجلات DNS لـ Google Vietnam و Lenovo بعد اختراق أنظمة WebNIC، المسجِّل المقيم في ماليزيا. Brian Krebs، مستشهدًا بالباحثين اللي حققوا في الموضوع، نقل إن الاختطافين الاتنين كانوا ممكنين لأن المهاجمين سيطروا على Webnic.cc — مسجِّل كان بيخدم النطاقين دول و600,000 نطاق تاني.

الآليات، من تقرير Krebs، بتبدو زي كتاب دراسي عن ليه المسجِّل هدف جذاب:

طريقة الدخول. Lizard Squad استخدم ثغرة command injection في Webnic.cc عشان يرفع rootkit — مما أعطاهم وصولًا دائمًا ومخفيًا لأنظمة المسجِّل.
المفاتيح الرئيسية. كمان حصلوا على وصول لمخزن Webnic من "auth codes" — أسرار نقل EPP اللي بتقدر تنقل أي نطاق لمسجِّل تاني.
إعادة التوجيه. بالتحكم في مستوى المسجِّل، غيّروا سجلات nameserver لـ lenovo.com. The Register لاحظ إن إعدادات nameserver للنطاق اتحدّثت بشكل مريب لتشير لسيرفرات DNS تابعة لشركة الاستضافة CloudFlare — مستخدمين Cloudflare عشان يخفوا السيرفر الحقيقي للوجهة.
سرقة البريد. والأهم إنهم ما وقفوش عند الموقع. غيّروا سجلات سيرفر البريد مما سمح لهم باعتراض الرسائل المُرسَلة لعناوين Lenovo. DNS بيتحكم في أكتر من مجرد سجل A؛ بيتحكم في سجل MX كمان. امتلاك النطاق معناه امتلاك البريد.

النقطة الأخيرة دي هي اللي الناس بتنساها. تشويه موقع ويب ضوضاء وواضح. اعتراض البريد الإلكتروني بصمت هو النصف الخطير من اختطاف DNS — وبيحصل كنتيجة طبيعية لنفس الفعل الواحد المتمثل في تغيير سجل واحد عند المسجِّل.

الاستجابة والتداعيات

Lenovo تحركت بسرعة، لأنه ما كانش في شيء تاني تعمله — الإصلاح كان عند المسجِّل، مش على سيرفراتها هي. الشركة أكدت إنها وقعت ضحية لهجوم إلكتروني كان تأثيره تحويل الزيارات من موقع Lenovo، ويبدو إنها استعادت الوصول الكامل لموقعها العام بحلول مساء 25 فبراير. Cloudflare، لما وجدت اسمها يُستخدم في سلسلة إعادة التوجيه، قطعت اتصال سيرفرات الأسماء الضارة، مما أنهى اعتراض البريد الإلكتروني كمان.

التنظيف الأكبر كان من نصيب Webnic. ثغرة command injection واحدة في مسجِّل واحد كانت كافية عشان تسلّم اتنين من أكثر النطاقات قيمة على الإنترنت — نطاق Lenovo ونطاق Google — لمجموعة قرصنة تعمل كل حاجة بقصد الإثارة، في غضون 48 ساعة. الحادثة أصبحت دراسة حالة ثابتة في مخاطر المسجِّل، وتذكير بإن "600,000 نطاق تاني" كانت وراء نفس النظام المخترق.

بالنسبة لـ Lenovo، الضرر الدائم كان في السمعة. بعد Superfish بأيام قليلة، الاختطاف حوّل فشلًا أمنيًا خطيرًا لقصة من فصلين: أول الشركة كسّرت الثقة مع عملاءها، بعدين خسرت السيطرة على اسمها بشكل مرئي للجميع. عرض الويب كاميرا هو اللي الناس فضلت فاكراه، لكن اختراق المسجِّل هو اللي مهمّ فعلًا.

الدرس المستفاد: مسجِّلك هو خطك الدفاعي الحقيقي

الدرس المزعج من EP17 إن Lenovo اتصرفت صح في كل الحاجات اللي كانت بتتحكم فيها، ومع كده اتخطفت من خلال الجزء اللي ما كانتش بتتحكم فيه.

كذا نقطة قابلة للتعميم بعيدًا عن 2015:

مسجِّلك داخل حدود ثقتك سواء تعاملت معاه كده ولا لأ. تقدر تحصّن كل سيرفر بتمتلكه ومع كده تخسر النطاق عند طرف تالت على الأغلب ما راجعته أمنيًا أبدًا. المهاجم بياخد أسهل طريق — والمسجِّل في الغالب أضعف منك.
التحكم في DNS هو التحكم في البريد. الاختطاف مش مجرد صفحة رئيسية مشوّهة. نفس التغيير في السجل بيحوّل البريد الإلكتروني بصمت، مما يُتيح الاعتراض وإعادة تعيين كلمات المرور ضد نطاقك والانتحال. تعامل مع سجل MX كأصل حرج أمنيًا، مش مجرد سباكة.
قفّل اللي ينقفل. قفل المسجِّل (registrar-lock / clientTransferProhibited)، والوصول المحدود لأكواد EPP/auth، والقفل على مستوى السجل للنطاقات عالية القيمة موجودة بالتحديد عشان توقف التغييرات غير المصرح بها في nameserver والنقل. ده رخيص. العيب من تجاهله هو علامتك التجارية على عرض ويب كاميرا.
DNSSEC بيرفع التكلفة. ما كانش هيوقف سيطرة على حساب المسجِّل لوحده، لكن الزونات المُوقَّعة ومراقبة DNS بتخلي التلاعب الصامت أصعب في التنفيذ بدون كشف.
راقب DNS الخاص بيك للانحراف. تغيير nameservers لـ Lenovo لمزود غير متوقع كان هو العلامة الواضحة. المراقبة المستمرة لسجلات NS و MX بتحوّل "اتعرفنا لما العملاء شافوا العرض" لـ "اتنبّهنا لما تغيّر السجل".

القاسم المشترك: التحكم في النطاق هو نطاق أمان قائم بذاته، ومعظم الشركات فوّضته لمورّد ما بيظهرش في نموذج التهديد الخاص بيها.

الزاوية من منظور Namefi

رسم توضيحي ملون لملكية نطاقات قابلة للتحقق ومقاومة للتلاعب — بطاقة نطاق مؤمَّنة بدرع أخضر، ورمز Namefi أخضر، واستمرارية DNS

اختطاف Lenovo هو في جوهره مشكلة تحكم وإثبات المصدر. المهاجم ما احتاجش يكون هو Lenovo؛ كان محتاج بس يقنع النظام اللي بيتحكم في lenovo.com إنه يشير لمكان جديد. ما كانش في سجل قوي ومستقل وقابل للتحقق لمين يتحكم بشكل شرعي في النطاق — مجرد حساب مسجِّل ينقدر يُسيطر عليه بهدوء من خلال ثغرة محدش في Lenovo قدر يشوفها.

Namefi مبني على فكرة إن النطاقات المفروض تتصرف زي أصول أصيلة في الإنترنت بملكية قابلة للتحقق ومقاومة للتلاعب. لما التحكم في النطاق يكون مرتكزًا على ملكية مشفّرة قابلة للتدقيق وصعبة الإلغاء الصامت — بدلًا من حساب مسجِّل واحد بكود مصادقة قابل للاسترداد — عملية تبديل nameserver غير المصرح بها بتبطّل تكون مجرد تعديل خلفي هادئ وتبدأ تكون كسرًا مرئيًا وقابلًا للإثبات في سلسلة الحيازة. الملكية المرمّزة بتحافظ على توافق النطاق مع DNS مع إن "مين بيتحكم في هذا الاسم، وهل ده اتغيّر للتو؟" يبقى سؤال بيملك جواب قابل للتحقق.

Lizard Squad حوّل باب عملاق أجهزة لمزحة خلال ظهيرة واحدة باستغلال الحلقة الأضعف في سلسلة الملكية. الدفاع مش موقع ويب أعلى صوتًا. ده جعل ملكية الاسم نفسها حاجة مهاجم ما يقدرش يزيّفها بهدوء.

المصادر وقراءة إضافية

Krebs on Security — Webnic Registrar Blamed for Hijack of Lenovo, Google Domains
The Register — Oh No, Lenovo! Lizard Squad on the attack, flashes swiped emails
Engadget — Lenovo's website hijacked, apparently by Lizard Squad
SecurityWeek — Lizard Squad Hijacks Lenovo Website, Emails
Help Net Security — Lenovo.com hijacking made possible by compromise of Webnic registrar
BankInfoSecurity — Lenovo Website Hijacked
IT Security Guru — Lizard Squad domain hijack gives control of Google Vietnam and Lenovo website
CNBC — Lenovo website breached, hacker group Lizard Squad claims responsibility
We Live Security (ESET) — Lenovo website hacked, Lizard Squad claims responsibility
Computing — Lenovo website hijacked by Lizard Squad after Superfish debacle
Wikipedia — Superfish
CISA — Lenovo Superfish Adware Vulnerable to HTTPS Spoofing