思科(Cisco)旗下的安全情報小組Talos於4月17日公布一起名為「海龜」(“Sea Turtle”)的攻擊行動,該行動是以DNS挾持作為主要的攻擊手法,駭客非法竄改DNS名稱紀錄,將使用者導向其控制的伺服器。據了解,早在2017年1月這起「海龜行動」就已開始,直到今年第一季仍持續進行中,Talos相信該行動是由國家支持且手法高明的駭客所為,調查顯示,目前至少有13個國家、逾40個組織遭到攻擊,雖然主要目標僅鎖定中東和北非地區的國家安全組織,如外交部、軍事機構、情資單位和知名能源組織等,Talos警告該行動的成功可能會引起全球DNS系統受到更廣泛的攻擊。
Talos認為,「海龜行動」背後的駭客技巧純熟又大膽,大多數的情況是,如果駭客的行動被公開揭露後,他們通常會停止或放慢其活動,然而「海龜行動」儘管已被公開報導,其行為者仍持續進行攻擊,難以被阻止;此外,DNS挾持只是駭客要竊取憑證以存取目標系統或網路的手段,他們先控制目標對象的DNS紀錄,然後更改此紀錄並將使用者導向其所控制的伺服器,進而騙取使用者憑證。
Talos並提供緩解策略,建議大家使用註冊鎖定服務(registry lock service),或是執行多重因素認證(multi-factor authentication)來存取DNS紀錄,若懷疑已遭到駭客入侵,最好使用可信任網路上的電腦將密碼全面更換,並修補所有已公開的安全漏洞。
參考資料:
- CircleID Reporter, State-Sponsored Attack Is Manipulating DNS Systems of National Security Organizations, CircleID 2019/04/17
- DNS Hijacking Abuses Trust In Core Internet Service
Image by Marcello Rabozzi from Pixabay
