敍利亞黑客如何發現紐約時報的澳大利亞弱點 - 彭博社

攝影：安迪·克羅帕/Redux一個 黑客攻擊 由敍利亞電子軍發起，可能針對 紐約時報 和其他美國媒體公司，但薄弱環節是 墨爾本IT，一個將互聯網流量引導到這些公司的服務器的域名註冊商。一個對不知名的澳大利亞網絡服務提供商的攻擊如何導致 時報 網站超過20小時的中斷？

墨爾本IT和其他類似公司在互聯網的日常運作中佔據着中心位置。當一個人或公司購買一個域名——像nytimes.com這樣引人注目的名稱——這個人性化的名稱會被分配一個 IP地址，它作為真實的託管位置網站。對於 紐約時報， 這個IP地址看起來是這樣的： http://170.149.168.130 （點擊這個數字鏈接，你會發現 時報 網站正常運行。）

像墨爾本IT這樣的註冊商幫助引導來自人們輸入網址的流量，省去了我們記住那些笨重的IP號碼的麻煩。根據與 時報 合作的安全公司CloudFlare的説法，該公司發佈了關於週二攻擊的詳細 描述，墨爾本以其優於平均水平的安全性而聞名，是全球第六大域名註冊商，註冊域名約250萬個。（GoDaddy是 註冊商中的主導者——其2500萬個域名佔據31%的市場份額）。墨爾本IT尚未回應評論請求。

攻擊者滲透了墨爾本IT的系統，並更改了與nytimes.com相關的服務器位置，“有效地劫持了該網站，”正如CloudFlare所解釋的那樣。在短時間內，一些試圖閲讀最新新聞的人發現自己卻進入了另一個包含惡意軟件的網站。CloudFlare與維護攻擊者使用的名稱服務器的註冊商合作，關閉了該服務器——這一舉措使人們避免進入感染網站，但並沒有解決導致時報癱瘓的主要問題。自週二晚上以來，這家報紙一直在引導讀者訪問news.nytco.com，這是其移動網站的一個版本。

敍利亞電子軍也聲稱對墨爾本IT客户Twitter和《赫芬頓郵報》的類似攻擊負責，同樣是通過註冊商的系統。但這些網站基本上保持了功能。Twitter存儲圖像的服務器被關閉，但該公司的主網站仍然在線。根據CloudFlare的説法，Twitter表現得更好，因為它實施了註冊鎖，防止墨爾本IT對其註冊進行自動更改。目前尚不完全清楚攻擊是如何突破墨爾本IT的系統的。正如CloudFlare所解釋的：

“墨爾本IT剛剛向所有客户發送的一封電子郵件似乎表明，黑客以某種方式使用了一個轉售商賬户作為攻擊的一部分。雖然我們目前只是推測，但可能在轉售商界面中存在安全漏洞，允許特權升級以控制其他墨爾本IT客户。”

這次攻擊是一個新鮮的提醒，説明所有依賴網站的公司在多大程度上容易受到其他公司的失誤影響。“你在這裏有一個龐大的供應鏈，”安全公司FireEye的研究員肯尼斯·吉爾斯説。“如果攻擊者做好功課，他們就能找到鏈條中的弱點，直接攻擊某個目標。”

故障並不總是惡意攻擊。上週末，由於一個故障的硬件，幾個熱門網站癱瘓了，原因是亞馬遜的數據中心。

在成為近期記憶中最引人注目的黑客攻擊中心之前，墨爾本IT已經經歷了一個多事的日子。在攻擊開始前的幾個小時，其首席執行官表示他將辭職。而在*《泰晤士報》* 首次癱瘓近24小時後，墨爾本IT自己網站上的一頁上仍然留有一個小小的嘲諷，現在該頁面顯示為一張簡單的白色頁面，上面有一條小消息：“被SEA黑客攻擊，你的服務器安全性非常弱。”