思科(Cisco)旗下的威胁谍报组织Talos揭露一路名为"海龟"(Sea Turtle)冲击动作,指称该动作从2017年1月到本年第一季,持续锁定中东及北非区域13个国度的逾40个组织动员DNS冲击。
"海龟动作"以DNS挟持作为首要的冲击手法,藉由不法改动DNS名称记载把拜访者导至黑客所掌控的办事器。该动作的首要受害者为国度平安组织、交际部、知名能源组织,以及替这些组织供应办事的第三方业者动员;而次要受害者则是DNS..商、电信业者与ISP业者。
值得注重的是,黑客平日以第三方业者作为跳板来冲击方针对象。
其实外界已经察觉了"海龟动作"。瑞典的中立收集根蒂举措Netnod在本年1月遭到黑客冲击,坦承Netnod并非黑客的最终方针,黑客只是藉由Netnod取得另外国度之收集办事的登入凭证,受害者遍布中东、北非、欧洲与北美。而平安业者FireEye也在1月发布一路全球性的DNS挟持冲击,并推想黑客源自伊朗。
Talos认为,"海龟动作"显露出黑客的高度冲击能力与"恬不知耻"。因为大多数的冲击动作在被公开揭露之后就会住手或放缓,但主导"海龟动作"的黑客却不受阻挠地持续进行冲击。研究人员估量设计周详的"海龟动作"至少开采了7个平安破绽,这些破绽涉及phpMyAdmin、GNU bash系统、思科交流器、思科路由器、思科平安装配、执行Tomcat的Apache办事器,以及Drupal等。
此外,DNS挟持只是黑客达到目的的手段,研究人员相信黑客的目的是为了窃取可存取方针系统或收集的凭证;先掌握了方针对象的DNS记载,再调换DNS记载以将使用者指导至黑客办事器,进而骗取使用者凭证,并行使这些凭证历久存取受害收集或系统。
Talos建议各大组织或企业可启用..锁住办事(registry lock service),以避免DNS记载遭到不明改动,或是替DNS的存取设定多重身份认证机制,假设猜忌已遭到黑客入侵,则最好周全更调用户暗码,并修补各类已被公开的平安破绽。
