شروع حملات گسترده DNS با یک ایمیل جعلی ساده
حملات سایبری که سایت روزنامه The New York Times و چند سایت مطرح دیگر را از دسترس مراجعه کنندگان خارج کرده و آنها را به یک سایت دیگر هدایت می نمود، با یک ایمیل ساده کلاهبرداری (Phishing) که به یک شرکت خدمات دهنده ثبت دامنه (Domain) ارسال شده بود، شروع شد.
نفوذگران توانستند تنظیمات DNS چندین دامنه از جمله nytimes.com ,sharethis.com ,nuffingtonpost.co.uk و twitter.co.uk را تغییر دهند. تغییرات باعث گردید که ترافیک این سایت ها به طور موقت به یک سرور تحت کنترل نفوذگران هدایت شود. به این اقدام خرابکارانه، حملات “گروگانگیری DNS” گفته می شود.
برای آشنایی بیشتر با سرورهای DNS پیشنهاد می شود مقاله dns چیست را مطالعه نمایید.
نفوذگران حتی توانسته بودند که مشخصات ثبت نام کننده دامنه ها را نیز تغییر دهند. از جمله مشخصات twitter.com تغییر داده شده بود ولی مورد حملات “گروگانگیری DNS” قرار نگرفت.
یک گروه نفوذگر سوری و حامی دولت فعلی سوریه مسئولیت این حملات را بر عهده گرفته است. این گروه طی ماه های اخیر حملات نفوذی مختلفی را علیه سایت های خبری و روزنامه های مشهور جهان انجام داده است.
در این حملات اخیر، نفوذگران با ارسال یک ایمیل جعلی توانسته بودند که یکی از نمایندگان فروش شرکت خدمات دهنده ثبت دامنه (Melbourne IT) را فریب داده و مجوز دسترسی به شبکه این شرکت را به دست آورند.
با سوء استفاده از این مجوز، نفوذگران به شبکه شرکت Melbourne IT دسترسی پیدا کرده و تنظیمات دامنه هایی را که در اختیار این نماینده فروش بودند، تغییر دادند.
طبق اعلام مسئولان Melbourne IT، تنظیمات DNS به حالت اولیه برگردانده شده اند ولی به دلیل ذخیره سازی (Cache) اطلاعات سایت ها بر روی برخی سرویس دهنده های اینترنت، مدتی طول خواهد کشید تا همه مراجعه کنندگان به این سایت ها بتوانند محتوای واقعی آنها را مشاهده کنند.
همچنین تنظیمات DNS این سایت ها در سطح بالاتر com Registry. قفل شدند تا به این سادگی امکان تغییر تنظیمات وجود نداشته باشد.
حملات “گروگانگیری DNS” علاوه بر اینکه باعث مزاحمت و اختلال در سرویس دهی سایت های قربانی می شود، مراجعه کنندگان را نیز می تواند مورد تهدید و خطر قرار دهند. در بسیاری موارد، با تغییر DNS دامنه ها، مراجعه کنندگان ناخواسته به سایت ها و سرورهایی هدایت می شوند که میزبان انواع بدافزارها و برنامه های مخرب جاسوسی هستند.
گرچه در این حملات نیز نشانی IP سروری که مراجعه کنندگان به آن هدایت می شدند، در بین نشانی های آلوده شناخته شده و حاوی بدافزار بوده است، ولی هیچگونه فعالیت مخربی در حملات اخیر مشاهده نشده.
برای جلوگیری از تغییر ناخواسته تنظیمات DNS صاحبان دامنه می توانند از شرکت های ثبت کننده دامنه بخواهند تا دامنه آنها قفل شود. البته به دلیل دشواری هایی که در زمان تمدید دامنه برای دامنه های قفل شده وجود دارد، اغلب شرکت ها از انجام این کار خودداری می کنند ولی با کمی اصرار، این کار را انجام خواهند داد.