据网络安全分析师称,导致埃隆·马斯克(Elon Musk)的X系统瘫痪的网络攻击,针对的是那些没有充分防范恶意流量的服务器。
直到周一,社交媒体平台的用户都面临间歇性中断,马斯克将其归咎于一个“大型协调组织”或国家发动的“大规模网络攻击”。他没有提供任何进一步的细节来支持自己的说法。
诺基亚公司(Nokia Oyj)旗下业务部门Nokia Deepfield的安全研究员杰罗姆?迈耶(Jerome Meyer)表示,X已成为分布式拒绝服务攻击(DDoS)的目标,这种攻击会使网站流量泛滥,并迫使其离线。Meyer表示,他能够通过查看诺基亚Deepfield收集的数据来追踪这次攻击。诺基亚Deepfield部署在电信公司内部,提供分析和DDoS保护。
他说,这些流量的目标是特定的“原始服务器”,这些服务器负责处理和响应传入的互联网请求。迈耶说,这些服务器很容易受到攻击,因为它们似乎没有被屏蔽在阻止DDoS攻击的技术后面。他们“不应该暴露在互联网上,”Meyer说,他补充说,周一被攻击的服务器之一仍然是孤立的,周二早上很容易受到攻击。
X的代表没有立即回应置评请求。一个名为“黑暗风暴团队”(Dark Storm Team)的亲巴勒斯坦黑客组织宣称对此次袭击负责,但没有提供任何证据。彭博新闻社无法独立核实该组织的说法。
英国国家网络安全中心(National Cyber Security Centre)前负责人夏兰?马丁(Ciaran Martin)周二在接受英国广播公司(BBC)电台采访时表示,“看起来X没有正确实施Cloudflare”,Cloudflare是一家提供DDoS保护服务的公司。马丁还表示,X“将一些服务器留在了Cloudflare的保护之前,而不是之后”。“这有点像有四扇门,给其中三扇上了最先进的锁,却没有打开一扇门,”他说。马丁没有回应进一步置评的请求。
Cloudflare的一位代表没有立即回应置评请求。
网络安全公司SecurityScorecard Inc .的高级渗透测试员David Mound说,大多数大型网站都有强大的防御措施,包括网络应用防火墙和其他安全技术,以保护其原始服务器不被互联网直接访问。
“如果X的原始服务器暴露在外,或者缺乏足够的过滤,那将是一个根本性的安全疏忽,”他说。Mound说,保护原始服务器对于任何大型网络服务来说都是行之有效的最佳实践。
马斯克周一在接受福克斯商业频道采访时表示,他的公司已经追踪到“乌克兰地区”的IP地址。然而,网络安全专家对这一说法表示怀疑。
据诺基亚的迈耶称,用于向X发送大量流量的大部分设备位于美国、墨西哥、西班牙、意大利和巴西。他说,这些设备很可能在攻击者的控制之下,而攻击者可能位于另一个国家,他们隐藏在多层混淆之后,以掩盖自己的真实身份。
美国网络司令部前官员杰森·基塔(Jason Kikta)表示,黑客在攻击中伪造网络流量的位置,使服务器不堪重负,这是“琐碎和常规的”。
Kikta现在是IT自动化公司Automox Inc.的首席信息安全官,他说:“受害者在DDoS攻击中看到的IP地址就像描述银行劫匪戴着什么样的滑雪面具一样有意义。”“这是一个起点,但不是特别有用。”
迈耶说,这次攻击与僵尸网络有关,僵尸网络是指被恶意软件感染并受黑客控制的计算机,其中包括1万到2万个IP地址。他说,这些漏洞与安全摄像头和网络视频录像机有关,这些设备很可能遭到了恶意软件的入侵。
许多用于攻击X的设备都与一个名为“Eleven11bot”的僵尸网络有关,该僵尸网络之前曾对通信服务提供商和游戏托管基础设施进行过拒绝服务攻击,Meyer说,他已经跟踪了几个星期的僵尸网络。
彭博新闻社此前报道,在马斯克于2022年收购推特(后来将其更名为X)之后,超过100名从事安全和隐私团队的人员离开了公司,负责保护其基础设施免受网络攻击和数据泄露的人员数量减少了一半。- - - - - -布隆伯格
