思科(Cisco)旗下的威胁情报组织Talos披露一起名为“海龟”(Sea Turtle)攻击行动,指称该行动从2017年1月到今年第一季,持续锁定中东及北非地区13个国家的超过40个组织发动DNS攻击,而且相信该攻击是由国家支持的黑客所为。
“海龟行动”以DNS挟持作为主要的攻击手法,借由非法篡改DNS名称纪录把访问者跳转至黑客所掌控的服务器。该行动的主要受害者为国家安全组织、外交部、知名能源组织,以及替这些组织提供服务的第三方企业发动;而次要受害者则是DNS注册商、电信企业与ISP企业。
值得注意的是,黑客通常以第三方企业作为跳板来攻击目标对象。
其实外界已经发现了“海龟行动”。瑞典的中立网络基础设施Netnod在今年1月遭到黑客攻击,坦承Netnod并非黑客的终极目标,黑客只是借由Netnod取得其它国家之网络服务的登录凭证,受害者遍布中东、北非、欧洲与北美。而安全企业FireEye也在1月公布一起全球性的DNS挟持攻击,并推测黑客源自伊朗。
Talos认为,“海龟行动”显示出黑客的高度攻击能力与“厚颜无耻”。因为大多数的攻击行动在被公开披露之后就会停止或放缓,但主导“海龟行动”的黑客却不受阻挠地持续进行攻击。研究人员估计设计精密的“海龟行动”至少开采了7个安全漏洞,这些漏洞涉及phpMyAdmin、GNU bash系统、思科交换机、思科路由器、思科安全设备、执行Tomcat的Apache服务器,以及Drupal等。
此外,DNS挟持只是黑客达到目的的手段,研究人员相信黑客的目的是为了窃取可访问目标系统或网络的凭证;先控制了目标对象的DNS纪录,再变更DNS纪录以将用户引跳转至黑客服务器,进而骗取用户凭证,并利用这些凭证长期访问受害网络或系统。
Talos建议各大组织或企业可激活注册锁住服务(registry lock service),以避免DNS纪录遭到不明篡改,或是替DNS的访问设置多重身份认证机制,假设怀疑已遭到黑客入侵,则最好全面更换用户密码,并修补各种已被公开的安全漏洞。