Parte del registro de información del dominio facebook.com fue cambiado, pero el dominio no fue redirigido a un servidor no autorizado.

El Ejército Electrónico Sirio (SEA por sus siglas en inglés), un grupo de hackers con el hábito de secuestrar nombres de dominios de alto perfil, se las arregló para cambiar la información de registro de dominio de facebook.com, pero falló en su intento de redirigir el dominio a un servidor diferente.

Los hackers publicaron capturas de pantalla el día jueves en sus cuentas de Twitter de algo que parecía ser el panel de administración de la empresa MarkMonitor, con sede en San Francisco, la cual administra nombres de dominio en favor de las grandes empresas. Los servicios de la compañía se centran en la protección de la marca en línea y acciones antifalsificación.

El servicio de gestión de dominios de MarkMonitor "asegura que los dominios estén a salvo mediante un portal endurecido y un conjunto completo de soluciones de seguridad de alta calidad, incluyendo medidas avanzadas de seguridad en el nivel de registro y servicios de seguridad para bloquear dominios debajo del nivel de registro", explica el sitio de la compañía.

Parece que la SEA apuntó hacia MarkMonitor con la intención de atacar a Facebook en particular, ya que la compañía celebró el martes su décimo aniversario. El grupo utilizó el panel de control de MarkMonitor para modificar la información WHOIS para facebook.com y cambiar la dirección del dominio a Damscus, Siria.Los hackers fracasaron en su intento por modificar las configuraciones DNS (Domain Name System) del dominio y redirigir el sitio web a un servidor bajo su control, tal como lo hicieron en el pasado con los nombres de dominio de otras compañías. Eso se debe a que facebook.com tiene colocado un bloqueo de registro en una función que requiere una verificación adicional (con base en seres humanos) en su nivel de registro para realizar cambios en un nombre de dominio. El registro para la zona .com TLD es VeriSign.

No está claro cómo SEA obtuvo acceso al panel de control de MarkMonitor, pero por otras capturas de pantalla publicadas por los hackers, el panel también les dio acceso a los nombres de dominio de Amazon, Google, Yahoo y muchas otras empresas de renombre de diferentes industrias.

Todas las consultas de dominios WHOIS para amazon.com, google.com y yahoo.com muestran a MarkMonitor como el registrador, pero como facebook.com, todos los nombres de dominio tienen la bandera de "clientUpdateProhibited" (actualización ce clienes prohibida), la cual indica la presencia de un bloqueo de registro. Esto significa que SEA no habría sido capaz de secuestrar los nombres de dominio, tampoco.

MarkMonitor, que es propiedad de Thomson Reuters, no respondió inmediatamente a una investigación que busca mayor información sobre el ataque.

Facebook se abstuvo de hacer comentarios, pero la información WHOIS de su dominio se corrigió rápidamente después del incidente.

El modus operandi de SEA's  implica el lanzamiento de ataques de spear phishing que lanza contra los empleados de las empresas  con el fin de obtener credenciales sensibles. Spear phishing es una forma específica de phishing, que involucra a la gente engañándola para que divulguen su información de acceso o instalen software malicioso.

En agosto, el grupo de hackers utilizó phishing para comprometer una cuenta de revendedor en una compañía de registro de dominios australianos y servicios de TI llamada Melbourne TI. Los hackers  utilizaron la cuenta para cambiar el registro de los nombres del servidor de varios dominios, incluyendo nytimes.com, sharethis.com, huffingtonpost.co.uk, twitter.co.uk y twimg.com.

El mes pasado se las arreglaron para enviar mensajes falsos en los sitios oficiales de blogs de Microsoft and Office después de lograr acceder a las cuentas de correo electrónico de algunos de los empleados de la compañía.

SEA normalmente secuestra nombres de dominio con el fin de modificar los sitios web que tiene señalados y muestra mensajes Pro-Siria a sus visitantes, como un grupo que apoya públicamente al presidente sirio Bashar al-Assad y a su gobierno. No obstante, este tipo de ataque también puede ser usado para los propósitos más nefastos. En lugar de mensajes políticos, los atacantes podrían mostrar una página de phishing para robar las credenciales de usuario o servir exploits para infectar ordenadores con malware.

Los expertos en seguridad aconsejaron repetidamente a las empresas proteger sus nombres de dominio, colocando bloqueos de registro para ellos. VeriSign ofrece este servicio de nombres de dominio en el archivo .com, .net, .tv, .cc .net y zonas de nombres TLD.