美国陆军两个网站,首页一切正常,出问题的是那种平时没人会点开的404错误页——用户输入错了网址、点了个失效链接才会跳出来的那种。黑客偏偏挑了这里下手,写上骂特朗普的话,还捎带呼吁“自由库尔德斯坦”。这不是常见的“网站首页被黑”戏码,而是一次更冷门也更值得琢磨的选择:专找没人盯的角落动手。
发生了什么
被改的是陆军Open Innovation Lab(oil.army.mil)和AI Integration Center(ai2c.army.mil)两个网站的错误页面。研究员Ronald Lovelace发现后告知Cyberscoop,页面上称特朗普是“恋童癖”“窃贼”,影射的是他在爱泼斯坦案文件中被反复提及的争议;还点了驻土耳其大使Tom Barrack的名。
Cyberscoop联系陆军后,页面很快被下线。陆军表示正在调查,但没说清攻击手法,也没确认数据是否被窃取。国防部发言人对置评请求没有回应。
“404 hijacking”是什么
业内把这类手法称作404 hijacking——不碰首页、不碰核心系统,只改“页面不存在”时弹出的那个默认错误页。这类页面通常不在常规安全巡检范围内,权限管理也松,给了可乘之机。
已经确认的是:这两个网站跑在WordPress上,并使用微软云基础设施。没确认的是具体哪个插件、哪个漏洞被利用——目前没有任何信源指名具体漏洞,也没有CVE编号。这条界线要划清楚,别把“网站被黑”自动脑补成“某个漏洞已被找到”。
不是孤例
今年以来,美国国土安全部已经出过两次事:一次是ICE驱逐相关的合同记录被黑客拿走并公开,一次是本周一个跨部门情报共享平台被攻破。加上这次陆军网站,联邦系统在几个月内被曝光三次。
原文和目前的信息都没有证据表明这三起事件出自同一黑客团体,或者存在技术关联,归因不宜先入为主。但暴露出来的问题是相似的:黑客行动主义者盯上的,往往是政府数字资产里维护最松懈、关注最少的部分。
我的判断
陆军首页大概率有团队天天盯着,做渗透测试、内容审核、证书更新。404页面呢?多半是建站模板自动生成,上线那天起就没人再看过。更讽刺的是,这次出事的两个单位,恰恰是负责给陆军对接AI和新技术的Open Innovation Lab和AI Integration Center——最标榜前沿的部门,栽在网站里最过时的一角。
- 风险.错误页、旧插件、废弃子域名这类“边缘资产”,普遍不在常规安全巡检清单里,却一样能被公开访问
国防部对置评请求沉默,陆军也没公布具体攻击手法。能下线页面止损,不代表愿意告诉公众到底出了什么问题。韩非子说“千丈之堤,以蝼蚁之穴溃”,讲的就是这种道理——真正的破口往往不在城墙最厚的地方,而在没人巡查的缝隙里。
用一个没人看的错误页当喇叭,成本最低,声量却不小。
接下来值得盯的,是陆军调查结论会不会公布、是否证实数据泄露、有没有更多.mil域名被曝出同类手法。在结论出来之前,能确定的只有一件事:黑客做政治宣示,从来不需要攻破核心系统。
