Atak był klasycznym spear phishingiem – do wybranych pracowników owej firmy wysłano spersonalizowane e-maile zawierające złośliwe oprogramowanie. To pozwoliło na przejęcie kontroli nad ich komputerami, a w konsekwencji – uzyskanie dostępu do danych DNS zarządzanych przez Melbourne IT (australijskiego rejestratora domen, współpracujące z zaatakowaną firmą). 

Przestępcy zdołali dzięki temu zmodyfikować wpisy DNS zaatakowanych domen (m.in. nytimes.com, sharethis.com, huffingtonpost.co.uk, twitter.co.uk oraz twimg.com), co sprawiło, że osoby próbujące je odwiedzić były przekierowywane na stronę kontrolowaną przez Syrian Electronic Army. Witryna ta została jednak szybko zablokowana, więc próba wyświetlenia którejkolwiek z powyższych stron kończyła się komunikatem o błędzie. 

Zobacz również:

• WordPress sprzedaje domeny z gwarancją na sto lat

Problem został stosunkowo szybko zidentyfikowany i rozwiązany – wpisy DNS zostały skorygowane, a konta przejęte przez przestępców zablokowane (aczkolwiek w przypadku niektórych witryn problem występował nieco dłużej – przyczyny takiego stanu rzeczy nie podano).