思科威脅情報組織Talos近日揭露了一起名為“海龜”的攻擊行動,據悉該行動從2017年1月到今年第一季,持續鎖定中東及北非地區13個國家的超過40個組織發動DNS攻擊,而且相信此一攻擊是由國家支持的駭客所為。
“海龜行動”以DNS挾持作為主要的攻擊手法,借由非法篡改DNS名稱記錄把訪問者導至駭客所掌控的服務器。該行動的主要受害者為國家安全組織、外交部、知名能源組織,以及替這些組織提供服務的第三方發動;而次要受害者則是DNS注冊商、電信運營商與ISP服務商等。
值得注意的是,駭客通常以第三方服務商作為跳闆來攻擊目标對象。
其實外界已經察覺了“海龜行動”。瑞典的中立網絡基礎設施Netnod在今年1月遭到駭客攻擊,坦承Netnod并非駭客的終極目标,駭客隻是由Netnod取得其它國家之網絡服務的登入證書,受害者遍布中東、北非、歐洲與北美。而安全廠商FireEye也在1月公布一起全球性的DNS挾持攻擊,并推測駭客源自伊朗。
Talos認為,“海龜行動”顯示了駭客的高度攻擊能力與持續性。因為大多數的攻擊行動在被公開揭露之後就會停止或放緩,但主導“海龜行動”的駭客卻不受阻撓地持續進行攻擊。研究人員估計設計精密的“海龜行動”至少利用了7個安全漏洞,這些漏洞涉及phpMyAdmin、GNU bash系統、思科交換機、思科路由器、思科安全設備、執行Tomcat的Apache服務器,以及Drupal等。
此外,DNS挾持隻是駭客達到目的的手段,研究人員相信駭客的目的是為了竊取可訪問目标系統或網絡的憑證;先控制了目标對象的DNS記錄,再變更DNS記錄以将使用者引導至駭客服務器,進而騙取使用者證書,并利用這些服務證書訪問受害網絡或系統。
【建議各大組織或企業可啟用“注冊鎖定服務”,以避免DNS記錄遭到不明篡改,或是替DNS的訪問設定多重身份認證機制。如果懷疑已遭到駭客入侵,那麼最好全面更換用戶密碼,并修補各種已被公開的安全漏洞。】
【ZOL客戶端下載】看最新科技資訊,APP市場搜索“中關村在線”,客戶端閱讀體驗更好。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!