前两天访问Google越南站的网民都收到了一个大大的惊喜:他们看到的不是Google的搜索界面,而是一个男人的自拍照,页面上还留下一段文字:你已经被黑客组织Lizard Squad黑了。
科普:关于黑客组织Lizard Squad
Lizard Squad是2014年最活跃的黑客组织之一,他们曾在去年圣诞节成功“调戏”了IT巨头微软和索尼。当时这个黑客组织攻陷了PlayStation Network和Xbox在线服务,影响了全球数亿用户,并自诩为“DDoS攻击之王”。
值得一提的是,该黑客组织还为他们的DDoS攻击服务做了广告,这个服务原来叫Lizard Stresser现在叫Shenron。明码标价,商业味十足~
劫持Google
Lizard Squad此次并没有直接攻击Google服务器,而是对DNS进行了劫持,将Google越南的访客重定向到他们的“黑页”。
根据Google的DNS服务商OpenDNS所述,这名自称Lizard Squad成员的黑客通过将Google的域名服务器(ns1.google.com, ns2.google.com)修改成CloudFlare的IP(173.245.59.108, 173.245.58.166)来重定向访客。
与此同时,这个带有自拍的黑页被放在一台位于荷兰的DigitalOcean服务器上。
攻击事件发生后,CloudFlare和越南互联网络信息中心(VNNIC)迅速作出反应,防止情况恶化。域名服务器记录几小时后有被恢复了。
OpenDNS的专家认为,Lizard Squad的狡猾之处在于,他们之所以选择DigitalOcean是因为它提供了IPv6的IP地址,这能帮助他们迷惑网络分析人员和传统的检测工具。
有问题的IP地址是2a03:b0c0:2:d0::23a:c001。
下面是这个地址的相关信息:
Prefix: 2a03:b0c0:2::/48
Prefix description: DigitalOcean
Country code: NL
Origin AS: 202018
Origin AS Name: DOAMS3 — DigitalOcean Amsterdam
RPKI status: No ROA found First seen: 2014-08-13 Last seen: 2015-02-23 Seen by #peers: 170 - See more
First seen: 2014-08-13 Last seen: 2015-02-23 Seen by #peers: 170 - See more
Last seen: 2015-02-23 Seen by #peers: 170 - See more
黑客使用的是位于荷兰的虚拟主机,而它与CloudFlare的负载均衡能力结合,这意味着他们至少考虑过要处理来自Google的大量请求。
“在未来,我们怀疑恶意网站和欺诈网站使用IPv6的情况会越来越多,尤其是当VPS服务提供商停止向消费者提供IPv4/IPv6地址的选项的时候”来自OpenDNS的Andrew Hay在一篇博文中写道。
据越南互联网络信息中心(VNNIC)所说,Google和被攻击的域名注册商正在调查此次事件。
参考来源:http://securityaffairs.co/wordpress/34058/cyber-crime/lizard-squad-dns-hijacking-google-vietnam.html
