伊朗疑涉入全球性 DNS 攔截綁架攻擊

圖片來源:https://www.securityweek.com/dns-hijack-how-avoid-being-victim

近來許多中東、北非、北美和歐洲的政府組織、ISP、網路基礎設施、電信服務業者、重要商業組織紛紛遭到 DNS 攔截綁架攻擊事件;美國資安公司 FireEye 指出,有相當證據證明這些攻擊事件和伊朗政府有關。

雖然目前還無法確認攻擊者的身分,但FireEye 發現,用來存取遭攻擊單位裝置的 IP,過去曾經用在由伊朗發動的網路攻擊事件之中。

這一連串攻擊事件中,攻擊者同時使用三種不同手法操弄 DNS,並攔截竊取受害者的網路通訊。其中一種攻擊手法是以竊得的登入資訊,進入 DNS 管理者的管理界面竄改 DNS 的 A 記錄,以便取得郵件通聯內容;另一種則是在駭入受害者的域名註冊者後更改 DNS 的 NS 記錄。

為避免遭到懷疑,入侵者使用免費的 Let’s Encrypt 加密認證,因此受害者僅會感到連線稍微變慢,很難發現任何竄改跡象。

資料來源:

  1. https://www.securityweek.com/iran-linked-dns-hijacking-attacks-target-organizations-worldwide
  2. https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html
回到頂端