https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

DNS攻擊 紐約時報和Twitter也中槍

2013 / 09 / 02
編輯部
DNS攻擊  紐約時報和Twitter也中槍

敘利亞電子軍(Syrian Electronic Army,SEA)在八月份相當活躍,繼8/15攻擊美國有線電視新聞網(CNN)、時代雜誌(Time)及華盛頓郵報(Washington Post)旗下網站後,又於8/27再度發動DNS攻擊,入侵紐約時報(New York Times)和Twitter。

紐約時報網站在8/27下午發生斷斷續續的網路故障問題並持續了數個小時,雖然紐約時報一開始表示是因為技術性的問題,不過不久後就對外證實是遭受SEA駭客組織的DNS攻擊所致,紐約時報並同時呼籲其員工在這段時間內避免發送敏感郵件。此外,Twitter也在當天證實遭到駭客入侵,且DNS記錄被竄改。

在8/15攻擊中,SEA是透過入侵內容推薦平台Outbrain的方式,攻擊CNN、時代雜誌和華盛頓郵報等媒體,而在8/27攻擊中,SEA同樣沒有直接攻擊紐約時報和Twitter,而是入侵其DNS服務商Melbourne IT,然後變更了紐約時報和Twitter的網域名,並把流量導至SEA所屬的伺服器。

資安專家分析,SEA不直接攻擊目標對象,而是先攻擊其合作夥伴和服務供應商,主要原因可能是這些業者的防護措施較為薄弱,另一方面,只要侵入一個供應商,就可以達到同時對數個網站發動攻擊的目的,就攻擊效益來看比較大。

除了紐約時報和Twitter之外,Melbourne IT還提供DNS服務給其他大型公司,包括Yahoo、Google、Microsoft、Ikea和AOL等。雖然目前沒有任何證據顯示其他公司也受害,不過Rapid7資安長H.D. Moore表示不能掉以輕心,因為駭客團隊若發現Melbourne IT系統中的漏洞,可能使得這些公司也暴露於風險中。

SEA為支持敘利亞總統Bashar al-Assa的一個駭客組織,今年稍早之前,也曾多次駭入西方媒體的相關網站和Twitter帳號,包括美聯社(Associated Press,AP)、英國衛報(The Guardian)、英國金融時報(Financial Times)等媒體也都是受害對象。

為了避免發生類似紐約時報遭受的DNS攻擊,安全專家表示,其中一個方法就是申請所謂的註冊局鎖定(registry lock)。註冊局鎖定為網域名更改的一種把關機制,其網域名不可以由註冊商任意更改或刪除,而必須經由註冊局驗證,並解除鎖定狀態後才能更改。這種方式相當於提供了一個額外的保護層,以防止DNS遭竄改。