黑客利用DNS劫持控制了多个国家的国家域名

安全研究人员历来就警告DNS劫持是一大威胁。一个新团伙长达数年的劫持活动表明了其中的原因。

发现一个新的狡猾的黑客团队暗中监视众多政府目标绝不是什么好消息。但是一个网络间谍团队以一种罕见而令人不安的伎俩成功实施了如此大规模的间谍活动，正是利用了专家们多年来一直在警告的互联网网络安全中的薄弱环节：DNS劫持，这种攻击手法扰乱互联网最基本的地址簿。

思科Talos安全部门的研究人员周三透露，一个名为Sea Turtle的黑客组织通过DNS劫持实施了一次广泛的间谍活动，攻击了40家不同的组织。在此过程中，黑客甚至破坏了多个国家/地区代码顶级域名，比如像.co.uk或.ru这些外国网址的后缀，导致多个国家/地区的每个域名的所有流量岌岌可危。

这伙黑客的受害者包括电信公司、互联网服务提供商以及负责实施域名系统的域名注册机构。不过思科认为，大多数受害者和最终目标以政府组织为主，包括外交部、情报机构、军事目标和能源相关组织，它们都位于中东和北非国家。通过破坏互联网的目录系统，黑客能够悄悄地利用“中间人”攻击，拦截发送给那些受害者组织的从电子邮件到网站流量的所有互联网数据。

顶级域名面临的困境

DNS劫持针对的是域名系统，这是互联网架构的支柱，它将你输入到浏览器的域名（比如“google.com”）转换成表示托管该服务的那台实际计算机的IP地址，比如“64.233.191.255”。破坏该系统，黑客就可以将该域重定向到他们选择的任何一个IP地址。思科Talos的研究员Craig Williams表示，Sea Turtle劫持活动令人不安，不仅仅是由于它代表一系列肆无忌惮的网络间谍行动，还由于它对互联网这个基本的信任模式提出了疑问。

Williams说：“当你在计算机上访问你的银行时，你假设DNS服务器会告诉你真相。遗憾的是，从地区的角度来看，我们看到的是，有人打破了这种信任。你前往某个网站，结果你根本无法保证与你交谈的是谁。”

在过去的几年里，黑客多次利用DNS劫持实施破坏活动：从粗糙的网站毁损，到另一种明显的间谍活动：DNSpionage，2018年年底思科Talos发现了这种活动，今年年初查明与伊朗有关。思科的Williams表示，其他安全公司对Sea Turtle的一些行动认识有误，将它们与DNSpionage活动混淆起来。不过他认为，Sea Turtle活动表明了一系列明显的、更严重的安全泄密。

David Ulevitch是面向DNS的公司OpenDNS的创始人，现在是知名风险投资公司安德森•霍洛维茨基金会的合伙人。他说：“谁要是控制了顶级域名，就可以添加、移动和删除记录，或者重定向域名，实施颠覆性的中间人攻击。对于拥有域名的任何人来说，这可能带来重大的安全隐患。”

思科Talos表示它无法确定Sea Turtle黑客的国籍，并拒绝透露间谍活动的具体目标。不过它确实详细列出了受害者所在国家：阿尔巴尼亚、亚美尼亚、塞浦路斯、埃及、伊拉克、约旦、黎巴嫩、利比亚、叙利亚、土耳其和阿拉伯联合酋长国。思科的Craig Williams证实，亚美尼亚的.am顶级域名是遭到攻击的“少数”域名之一，但不愿表示其他国家的哪些顶级域名同样被劫持。

思科确实提到了Sea Turtle黑客攻击的两家与DNS有关的公司的名称：瑞典基础设施公司NetNod和总部位于伯克利的Packet Clearinghouse，它们都在今年2月承认遭到了黑客攻击。思科表示，攻击者利用传统手段（比如鱼叉式钓鱼电子邮件）和旨在利用已知但没有打补丁的漏洞的黑客 工具 包，潜入到了那些初始目标的网络中。

中间人服务器

那些初始目标只是一块垫脚石。据思科的研究人员声称，一旦Sea Turtle黑客可以全面访问DNS提供商的系统，他们的间谍活动采用一种可预测的模式。黑客会更改目标组织的域名注册，指向他们自己的DNS服务器（对域名进行DNS转换，转换成IP地址的计算机），而不是指向受害者的合法服务器。如果随后用户试图访问受害者的网络：无论通过互联网、电子邮件还是其他互联网通信手段，那些恶意DNS服务器就会将流量重定向到一台不同的中间人服务器，该服务器先拦截并监视所有通信内容，然后将它们传输到预期的目的地。

SSL证书应该可以阻止这种中间人攻击，SSL证书旨在确保加密互联网流量的接收者正是正确的对象。但黑客仅仅使用了来自Let"s Encrypt或Comodo的欺骗证书，这些证书仔细检查起来无效，但仍能够通过合法性迹象（比如浏览器的URL地址栏中的安全锁符号）来欺骗用户。

凭借这台隐形的中间人服务器，黑客就能从截获的流量中获取用户名和密码。攻击者使用那些窃取而来的登录信息和黑客工具，在一些情况下可以更深入地潜入到目标网络。在此过程中，黑客会从受害者那里窃取合法的SSL证书，从而得以让中间人服务器看起来更加合法。为了避免被发现，黑客会在短短几天内拆除陷阱，不过在拦截了目标组织的大量数据和可以随意进入网络的密钥后才拆除。

Sea Turtle黑客采用的方法、乃至普通DNS劫持活动的一个令人不安的因素是，最初攻陷点出现在互联网基础设施组织，完全在实际目标的网络之外。Williams说：“受害者永远不会察觉。”

打破信任模式

思科的Williams表示，在2019年初，包括FireEye和Crowdstrike在内的多家安全公司公开曝光了Sea Turtle行动的部分内容，误以为它们是DNSpionage活动的一部分。Williams表示，尽管被曝光，Sea Turtle的活动依然存在。该团伙甚至企图再次破坏NetNod。

并非只有Sea Turtle热衷于DNS劫持。FireEye的首席分析师Sarah Jones特别指出，这种攻击手法在黑客当中越来越受欢迎，尤其在中东地区。Jones说：“我们肯定看到水平高低不一的更多不法分子采用这一招。DNS劫持是武器库中的另一个工具，就像网站扫描和网络钓鱼。我认为许多采用这一招的团伙发现，企业网络上这方面没有加强安全，因为它不是企业网络的一部分。没人真正想到自己的[域名]注册机构是谁。”

解决DNS劫持攻击的一个方法就是，组织实施“注册中心锁定”（registry lock），这种安全措施要求注册机构采取额外的身份验证步骤，并与客户进行沟通，之后客户的域名设置才可以更改。针对思科和FireEye的DNSpionage调查结果，美国国土安全部甚至在1月份向美国网络管理员们发出警报，要求他们检查域名注册机构的身份验证设置。

不过Williams表示，许多国家的顶级域名注册机构仍没有提供注册中心锁定，使客户处于不确定状态。他问道：“如果你在那些国家，怎么相信你的DNS系统再次运作？”

Williams表示，所有这一切都意味着DNS可能只会成为黑客攻击途径。他说：“即使Sea Turtle被发现，他们也没有收手。他们建立了这套看似可以重复的方法，他们就在那里打破互联网的信任模式。别人看到这种攻击手法得逞，就会如法炮制。”

声明：本文来自云头条，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。