เว็บไซต์ในประเทศจีนที่มีการลงโฆษณาจากเว็บ Baidu เมื่อเข้าเว็บไซต์ดังกล่าวจากนอกประเทศจีน จะพบหน้าจอป๊อบอัพขึ้นมาทุกๆ 5 วินาที เบื้องต้นคาดว่าน่าจะเป็นการโจมตีประเภท Cross-Site Scripting (XSS) จึงได้ตรวจสอบโค้ดดังกล่าวแล้วพบว่ามีการเรียกไปยัง URL ของ GitHub จำนวนสอง URL คือ github.com/greatfire และ github.com/cn-nytimes
โค้ดดังกล่าวเป็น JavaScript ที่อ้างอิงมาจากโฮสต์ของ Baidu (http://hm.baidu.com/h.js) ซึ่งทำหน้าที่สั่งโหลดหน้าเพจ GitHub ของทั้งสอง URL ข้างต้นอยู่ตลอดเวลา ตัวโค้ดถูก obfuscate และจะแสดงผลต่อเมื่อถูกเรียกใช้จากต่างประเทศเท่านั้น ถ้าเข้าจากประเทศจีนจะเห็นเป็นหน้าว่างเปล่า จากการตรวจสอบการเชื่อมต่อ พบว่าสคริปต์นี้ไม่ได้มาจากโฮสต์ของ Baidu จริงๆ แต่ประเทศจีนมีการทำ hijack ทราฟฟิกโฆษณาจากเว็บ Baidu ให้กลายเป็นสคริปต์เพื่อโจมตี DDoS เว็บไซต์ GitHub
ทางฝั่งของ GitHub ก็ออกมาเผยข้อมูลว่าถูกโจมตีจริงๆ โดยเริ่มตั้งแต่วันที่ 26 มีนาคมที่ผ่านมา GitHub บอกว่าแรงจูงใจของการโจมตีคาดว่าน่าจะต้องการให้ GitHub ลบเนื้อหาบางอย่างออกจากเว็บ (หน้าเพจของ GitHub ที่โดนยิง คือเนื้อหาจากเว็บที่โดนแบนในประเทศจีน ได้แก่เว็บ Greatfire.org และ Chinese New York Times)
ฝั่งของ Baidu ออกมาปฏิเสธว่าไม่เกี่ยวข้องกับการโจมตีครั้งนี้ และระบบของตัวเองก็ไม่ได้ถูกแฮกเพื่อใช้เป็นฐานถล่ม GitHub แต่อย่างใด ส่วนนักวิจัยของบริษัทความปลอดภัย F-Secure ให้สัมภาษณ์ว่าทางการจีนน่าจะมีส่วนเกี่ยวข้องด้วย เพราะแฮกเกอร์สามารถเข้าถึงโครงข่ายสำคัญของจีนได้
ที่มา : blognone
Leave a comment!
You must be logged in to post a comment.