本周有成千上万的荷兰网站传播恶意
软件,事故最初被认为是针对SIDN(荷兰NL域名扩展名管理员)的DNS服务器的
黑客攻击。
据报道,星期一,荷兰一家大型的在线电子零售商Conrad.nl的网站服务出现了恶意软件,并且不久之后被撤下。起初看似是一个孤立的事件,很快就被证实背后其实是个更大的问题。
据几则新闻报道,黑客在星期一早上访问了SIDN的域名
注册系统(DRS),随后在SIDN的DRS系统中快速地重新路由到外部名称服务器。据负责对此事件进行调查的荷兰安全公司Fox-IT称,此次黑客攻击影响了数千个网域,它们都向不知情的访问者显示“正在建设中”的页面,并同时经由iframe提供恶意软件服务。该恶意软件是黑洞
漏洞套件,利用
java和PDF的漏洞授权访问个人电脑。一旦下载完成,随即会下载其它恶意软件,然后通过Tor与C&C服务器连接。
误导性的报道
即使重定向被迅速发现,但问题的连锁效应会持续相当长的时间,因为给定的名称服务器的DNS的生存时间为24小时,这意味着许多互联网服务供应商一旦设置便会使用了错误的DNS长达24小时。
同时,SIDN发布声明解释,几则对该新闻的报道具有误导性:“早在星期一,一个特定注册的DRS帐户(Digitalus)被用来改变DNS。该注册的名称服务器细节被拥有伪造细节的DNS所取代。因此,如有人试图访问该注册账户的客户的网站就会被定向到别处。SIDN的域名注册系统(DRS)没有受到影响,这对注册用户(客户及其他市场参与者)有着相当广泛的意义。我们多么想强调,SIDN系统没有受到破坏”。
第二个事件
这一事件在近两个月又发生了第二次,SIDN已经面临着安全问题。上个月,黑客通过将恶意软件放置其服务器上,进行SQL注入,设法破坏网域管理员系统。但是,管理员强调,此次遭受的黑客攻击与当前事件无关,并且用于重新路由DNS的DRS账户登录没有成功。同时,荷兰国家网络安全中心(NCSC)也正在对这一事件进行调查。
