 |
| Fuente: ThreatPost |
Las primeras etapas del ataque comenzaron a principios de marzo, y los investigadores de Google dijeron que parecía ser una prueba de los atacantes para afinar las técnicas que se iban a utilizar. Sólo había un objetivo en ese momento, del 3 de marzo al 6 de marzo y los atacantes luego siguió su camino.
"El objetivo de la prueba inicial fue 114.113.156.119:56789 y el número de solicitudes fue artificialmente limitado. Desde el 4 al 6 de marzo, se eliminaron las limitaciones de petición ", Niels Provos del equipo de seguridad de Google, dijo en un blog.
"La siguiente fase se llevó a cabo entre los días 10 y 13 de marzo y dirigido a la siguiente dirección IP en un principio: 203.90.242.126. DNS pasiva coloco hosts bajo el dominio sinajs.cn en esta dirección IP. El 13 de marzo, el ataque se extendió para incluir d1gztyvw1gvkdq.cloudfront.net. Al principio, las solicitudes se hicieron a través de HTTP y luego pasaron a utilizar HTTPS. El 14 de marzo, el ataque comenzó por d3rkfw22xppori.cloudfront.net real y dirigido tanto a través de HTTP y HTTPS. Los ataques contra este host específico se llevaron a cabo hasta el 17 de March ".
Al día siguiente, los atacantes, que se cree ampliamente estar afiliado con el gobierno chino, agregaron varios hosts más a la lista de objetivos, todos ellos acogidos por el servicio de Amazon CloudFront. Los atacantes cambiaron de táctica durante esta fase de la operación.
"En algún momento durante esta fase del ataque, los hosts CloudFront empezaron a servir redirecciones 302 a greatfire.org así como otros dominios. La sustitución de Javascript cesó por completo el 20 de marzo, pero las inyecciones en las páginas HTML continuaron. Mientras que el reemplazo Javascript rompe la funcionalidad del contenido original, la inyección en HTML no ", dijo Provos.
No fue hasta el 26 de marzo que los atacantes realmente comenzaron a atacar a dos recursos independientes en GitHub, uno de los cuales albergaba contenido de GreatFire.org, un organismo de control de la censura en China. El otro recurso fue contenido en idioma chino del New York Times. El ataque a esos recursos se prolongó hasta el 7 de abril y Provos dijo que el ataque no hubiera sido posible si todos los vínculos de la Web fueron codificados.
"Si todo el trafico de la web ya se hubiera trasladado a tráfico cifrado mediante TLS, tal ataque de inyección no habría sido posible. Esto proporciona una motivación adicional para la transición de la web a la comunicación cifrada e integra", dijo Provos.
"Desafortunadamente, la defensa contra un ataque de ese tipo no es fácil para los operadores de sitios web. En este caso, el ataque Javascript solicita recursos web secuencialmente y retrasar las respuestas podría haber ayudado a reducir el tráfico global de ataque. Otra esperanza es que la visibilidad exterior de este ataque serviría como elemento de disuasión en el futuro ".
