黑客利用DNS劫持控制了多個國家的互聯網域名

安全研究人員歷來就警告DNS劫持是一大威脅。一個新團伙長達數年的劫持活動表明了其中的原因。

發現一個新的狡猾的黑客團隊暗中監視眾多政府目標絕不是什麼好消息。但是一個網路間諜團隊以一種罕見而令人不安的伎倆成功實施了如此大規模的間諜活動，正是利用了專家們多年來一直在警告的互聯網網路安全中的薄弱環節：DNS劫持，這種攻擊手法擾亂互聯網最基本的地址簿。

思科Talos安全部門的研究人員周三透露，一個名為Sea Turtle的黑客組織通過DNS劫持實施了一次廣泛的間諜活動，攻擊了40家不同的組織。在此過程中，黑客甚至破壞了多個國家/地區代碼頂級域名，比如像.co.uk或.ru這些外國網址的後綴，導致多個國家/地區的每個域名的所有流量岌岌可危。

這伙黑客的受害者包括電信公司、互聯網服務提供商以及負責實施域名系統的域名註冊機構。不過思科認為，大多數受害者和最終目標以政府組織為主，包括外交部、情報機構、軍事目標和能源相關組織，它們都位於中東和北非國家。通過破壞互聯網的目錄系統，黑客能夠悄悄地利用「中間人」攻擊，攔截髮送給那些受害者組織的從電子郵件到網站流量的所有互聯網數據。

頂級域名面臨的困境

DNS劫持針對的是域名系統，這是互聯網架構的支柱，它將你輸入到瀏覽器的域名（比如「google.com」）轉換成表示託管該服務的那台實際計算機的IP地址，比如「64.233.191.255」。破壞該系統，黑客就可以將該域重定向到他們選擇的任何一個IP地址。思科Talos的研究員Craig Williams表示，Sea Turtle劫持活動令人不安，不僅僅是由於它代表一系列肆無忌憚的網路間諜行動，還由於它對互聯網這個基本的信任模式提出了疑問。

Williams說：「當你在計算機上訪問你的銀行時，你假設DNS伺服器會告訴你真相。遺憾的是，從地區的角度來看，我們看到的是，有人打破了這種信任。你前往某個網站，結果你根本無法保證與你交談的是誰。」

在過去的幾年裡，黑客多次利用DNS劫持實施破壞活動：從粗糙的網站毀損，到另一種明顯的間諜活動：DNSpionage，2018年年底思科Talos發現了這種活動，今年年初查明與伊朗有關。思科的Williams表示，其他安全公司對Sea Turtle的一些行動認識有誤，將它們與DNSpionage活動混淆起來。不過他認為，Sea Turtle活動表明了一系列明顯的、更嚴重的安全泄密。

David Ulevitch是面向DNS的公司OpenDNS的創始人，現在是知名風險投資公司安德森?霍洛維茨基金會的合伙人。他說：「誰要是控制了頂級域名，就可以添加、移動和刪除記錄，或者重定向域名，實施顛覆性的中間人攻擊。對於擁有域名的任何人來說，這可能帶來重大的安全隱患。」

思科Talos表示它無法確定Sea Turtle黑客的國籍，並拒絕透露間諜活動的具體目標。不過它確實詳細列出了受害者所在國家：阿爾巴尼亞、亞美尼亞、塞普勒斯、埃及、伊拉克、約旦、黎巴嫩、利比亞、敘利亞、土耳其和阿拉伯聯合大公國。思科的Craig Williams證實，亞美尼亞的.am頂級域名是遭到攻擊的「少數」域名之一，但不願表示其他國家的哪些頂級域名同樣被劫持。

思科確實提到了Sea Turtle黑客攻擊的兩家與DNS有關的公司的名稱：瑞典基礎設施公司NetNod和總部位於伯克利的Packet Clearinghouse，它們都在今年2月承認遭到了黑客攻擊。思科表示，攻擊者利用傳統手段（比如魚叉式釣魚電子郵件）和旨在利用已知但沒有打補丁的漏洞的黑客工具包，潛入到了那些初始目標的網路中。

中間人伺服器

那些初始目標只是一塊墊腳石。據思科的研究人員聲稱，一旦Sea Turtle黑客可以全面訪問DNS提供商的系統，他們的間諜活動採用一種可預測的模式。黑客會更改目標組織的域名註冊，指向他們自己的DNS伺服器（對域名進行DNS轉換，轉換成IP地址的計算機），而不是指向受害者的合法伺服器。如果隨後用戶試圖訪問受害者的網路：無論通過互聯網、電子郵件還是其他互聯網通信手段，那些惡意DNS伺服器就會將流量重定向到一台不同的中間人伺服器，該伺服器先攔截並監視所有通信內容，然後將它們傳輸到預期的目的地。

SSL證書應該可以阻止這種中間人攻擊，SSL證書旨在確保加密互聯網流量的接收者正是正確的對象。但黑客僅僅使用了來自Let"s Encrypt或Comodo的欺騙證書，這些證書仔細檢查起來無效，但仍能夠通過合法性跡象（比如瀏覽器的URL地址欄中的安全鎖符號）來欺騙用戶。

憑藉這台隱形的中間人伺服器，黑客就能從截獲的流量中獲取用戶名和密碼。攻擊者使用那些竊取而來的登錄信息和黑客工具，在一些情況下可以更深入地潛入到目標網路。在此過程中，黑客會從受害者那裡竊取合法的SSL證書，從而得以讓中間人伺服器看起來更加合法。為了避免被發現，黑客會在短短几天內拆除陷阱，不過在攔截了目標組織的大量數據和可以隨意進入網路的密鑰後才拆除。

Sea Turtle黑客採用的方法、乃至普通DNS劫持活動的一個令人不安的因素是，最初攻陷點出現在互聯網基礎設施組織，完全在實際目標的網路之外。Williams說：「受害者永遠不會察覺。」

打破信任模式

思科的Williams表示，在2019年初，包括FireEye和Crowdstrike在內的多家安全公司公開曝光了Sea Turtle行動的部分內容，誤以為它們是DNSpionage活動的一部分。Williams表示，儘管被曝光，Sea Turtle的活動依然存在。該團伙甚至企圖再次破壞NetNod。

並非只有Sea Turtle熱衷於DNS劫持。FireEye的首席分析師Sarah Jones特別指出，這種攻擊手法在黑客當中越來越受歡迎，尤其在中東地區。Jones說：「我們肯定看到水平高低不一的更多不法分子採用這一招。DNS劫持是武器庫中的另一個工具，就像網站掃描和網路釣魚。我認為許多採用這一招的團伙發現，企業網路上這方面沒有加強安全，因為它不是企業網路的一部分。沒人真正想到自己的[域名]註冊機構是誰。」

解決DNS劫持攻擊的一個方法就是，組織實施「註冊中心鎖定」（registry lock），這種安全措施要求註冊機構採取額外的身份驗證步驟，並與客戶進行溝通，之後客戶的域名設置才可以更改。針對思科和FireEye的DNSpionage調查結果，美國國土安全部甚至在1月份向美國網路管理員們發出警報，要求他們檢查域名註冊機構的身份驗證設置。

不過Williams表示，許多國家的頂級域名註冊機構仍沒有提供註冊中心鎖定，使客戶處於不確定狀態。他問道：「如果你在那些國家，怎麼相信你的DNS系統再次運作？」

Williams表示，所有這一切都意味著DNS可能只會成為黑客攻擊途徑。他說：「即使Sea Turtle被發現，他們也沒有收手。他們建立了這套看似可以重複的方法，他們就在那裡打破互聯網的信任模式。別人看到這種攻擊手法得逞，就會如法炮製。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！