叙利亚黑客如何发现纽约时报的澳大利亚弱点 - 彭博社

摄影：安迪·克罗帕/Redux一个 黑客攻击 由叙利亚电子军发起，可能针对 纽约时报 和其他美国媒体公司，但薄弱环节是 墨尔本IT，一个将互联网流量引导到这些公司的服务器的域名注册商。一个对不知名的澳大利亚网络服务提供商的攻击如何导致 时报 网站超过20小时的中断？

墨尔本IT和其他类似公司在互联网的日常运作中占据着中心位置。当一个人或公司购买一个域名——像nytimes.com这样引人注目的名称——这个人性化的名称会被分配一个 IP地址，它作为真实的托管位置网站。对于 纽约时报， 这个IP地址看起来是这样的： http://170.149.168.130 （点击这个数字链接，你会发现 时报 网站正常运行。）

像墨尔本IT这样的注册商帮助引导来自人们输入网址的流量，省去了我们记住那些笨重的IP号码的麻烦。根据与 时报 合作的安全公司CloudFlare的说法，该公司发布了关于周二攻击的详细 描述，墨尔本以其优于平均水平的安全性而闻名，是全球第六大域名注册商，注册域名约250万个。（GoDaddy是 注册商中的主导者——其2500万个域名占据31%的市场份额）。墨尔本IT尚未回应评论请求。

攻击者渗透了墨尔本IT的系统，并更改了与nytimes.com相关的服务器位置，“有效地劫持了该网站，”正如CloudFlare所解释的那样。在短时间内，一些试图阅读最新新闻的人发现自己却进入了另一个包含恶意软件的网站。CloudFlare与维护攻击者使用的名称服务器的注册商合作，关闭了该服务器——这一举措使人们避免进入感染网站，但并没有解决导致时报瘫痪的主要问题。自周二晚上以来，这家报纸一直在引导读者访问news.nytco.com，这是其移动网站的一个版本。

叙利亚电子军也声称对墨尔本IT客户Twitter和《赫芬顿邮报》的类似攻击负责，同样是通过注册商的系统。但这些网站基本上保持了功能。Twitter存储图像的服务器被关闭，但该公司的主网站仍然在线。根据CloudFlare的说法，Twitter表现得更好，因为它实施了注册锁，防止墨尔本IT对其注册进行自动更改。目前尚不完全清楚攻击是如何突破墨尔本IT的系统的。正如CloudFlare所解释的：

“墨尔本IT刚刚向所有客户发送的一封电子邮件似乎表明，黑客以某种方式使用了一个转售商账户作为攻击的一部分。虽然我们目前只是推测，但可能在转售商界面中存在安全漏洞，允许特权升级以控制其他墨尔本IT客户。”

这次攻击是一个新鲜的提醒，说明所有依赖网站的公司在多大程度上容易受到其他公司的失误影响。“你在这里有一个庞大的供应链，”安全公司FireEye的研究员肯尼斯·吉尔斯说。“如果攻击者做好功课，他们就能找到链条中的弱点，直接攻击某个目标。”

故障并不总是恶意攻击。上周末，由于一个故障的硬件，几个热门网站瘫痪了，原因是亚马逊的数据中心。

在成为近期记忆中最引人注目的黑客攻击中心之前，墨尔本IT已经经历了一个多事的日子。在攻击开始前的几个小时，其首席执行官表示他将辞职。而在*《泰晤士报》* 首次瘫痪近24小时后，墨尔本IT自己网站上的一页上仍然留有一个小小的嘲讽，现在该页面显示为一张简单的白色页面，上面有一条小消息：“被SEA黑客攻击，你的服务器安全性非常弱。”