ارتش سایبری سوریه دیروز سایت های بزرگی رو هک کرد. لیست بلندبالایی شامل twitter.com,twimg.com,nytimes.com huffingtonpost.co.uk, twitter.co.uk

ولی این اتفاق چطور افتاد؟ طبق اعلام سخنگوی SEA، این گروه تونسته به سرورهای Melbourne IT که دامنه های رده بالا رو پشتیبانی می کنه نفوذ کنه، پسوردها رو بشکنه و DNS سایت های گفته شده رو تغییر بده به اسم خودش.

Melbourne-IT

هنوز مشخص نیست دقیقا با چه روشی هک انجام شده ولی کارشناس ها حدس می زنن که این گروه به جای حمله مستقیم به هدف، از روش فیشینگ و فریب ادمین های سایت استفاده کرده.

مشکل ساعت ۱۲ شب شروع شده و دی ان اس های نیویورک تایمز به سرورهای M.SEA.SY، MOD.SEA.SY و SEA.SY تغییر کرده. این سرورها در کنترل ارتش سایبری سوریه اند.

چک کردن DNS سایت نیویورک تایمز

معمولا تغییر DNS به سرعت خودش رو نشون نمی ده چون این اطلاعات برای کاربر ها ذخیره می شه و به صورت دوره ای به‌روز می شه. چک کردن سرورهای SEA نشون می ده که IP استفاده شده متعلق به یک سرور روسی است.

مشخصات سرویس دهنده سایت های SEA

سایت های دیگه این گروه نیز مانند قطر لیکس روی همین سرور قرار دارند:

سایت های دیگر روی سرور SEA

بعد از حمله های ماه های گذشته SEA به سایت های بزرگ، این سایت تلاش هاشون رو بیشتر کردند و با آموزش کارمندها سعی کردند جلوی اتفاق های مشابه رو بگیرند ولی یه نکته در بحث امنیت وجود داره: “امنیت شما به اندازه امنیت ضعیف ترین بخشه”

این “ضعیف ترین بخش” در حمله های روز گذشته ISP بوده. بنابراین آموزش نفرات و چک کردن سایت ها و زیر دامنه ها و غیره و غیره الزامی است و ناکافی. باید ببینید مجموعه شما از چه نقاط دیگه ای ممکنه آسیب ببینه.

در صورتیکه سایت های گفته شده رو باز کردید و به سرورهای SEA منتقل شدید احتمالا DNS های تقلبی توی سیستم شما ذخیره شده. بنابراین سعی کنید فعلا این سایت ها رو باز نکنید و برای توییتر هم از دامنه .com استفاده کنید. برای پاک کردن DNS های ذخیره شده در ویندوز می تونید از این روش استفاده کنید.

منبع و منبع