思科網絡安全團隊Talos,網誌上發表了一篇重要的研究,提及Talos偵察的不少大型DNS攻擊活動,均由一個國家級的黑客組織,代號「海龜」發動。這個報告發表之後,備受到廣泛關注,不少的業界媒體均有報導。
不過,亞太區的公司不必太過於擔心,同類型攻擊從2017年初開始至今,受攻擊地區,只是集中在中東及北非等13個國家,只影響當地的政府機關及能源組織等。
據報,海龜的攻擊行動,主要透過騎刧DNS協議方式去進行,原理為黑客以改變受害公司DNS地址,相關網絡流量會引進了黑客伺服器,從中偷取企業客戶登錄資料,甚至其他的用戶個人資訊。
2019年初,美國國安局已發出警告,提示企業應提防類似DNS 攻擊。黑客更可將用戶流量分流到其他伺服器,盜取企業的認證和加密証書,方便日後可冒充企業網站行騙。
報告亦指出,黑客利用以下軟件安全漏洞;包括了phpMyAdmin、GNU bash、思科網絡設備如路由器、交換器,Apache 及Drupal 等伺服器程式等等,應盡快更新管理軟件,以堵塞漏洞。
研究報告又指出,海龜攻擊針對兩類受害者。首先是大型的企業或政府部門,包括了國際的安全組織、外交部門、能源組織等。黑客從這些組織合作伙伴先埋手,通常這類公司,電腦保安未必如政府級組織般嚴謹,一旦遭入侵破壞,黑客便可找到連接政府部門渠道,作第二層入侵。其次,便是提供DNS服務和通訊組織;包括了電訊公司、互聯網公司、提供DNS 登記服務的公司等。若上述機構遭黑客入侵,企業DNS資料便很容易被直接竄改。
其實,早在去年十一月,Talos 亦曾報導過類似DNS攻擊,位於黎巴嫩及中東一帶,有地區及私人航空公司受到牽連。上次攻擊手法,除了嘗試改動.gov 網域的地址,還建立了兩個偽造網站,企圖以假亂真,誘使用戶登入以偷取個人資料。
雖然現時沒有証據,顯示兩者攻擊有何關連,報告提及今次海龜行動應該是更加大型,攻擊手段更複雜,後果亦估計更加嚴重。
Talos評估上述行動為國家級式別的攻擊;因為一般攻擊遭識破之後,應該就會立即停止。但這次的報告發表後,攻擊仍未停止,甚至變本加厲,攻擊手段亦更高明,相信有類似國家部門大型組織,背後為攻擊的黑客撐腰。
現時的企業的DNS管理,通常只由網絡管理人員負責。
一般來說,管理DNS的人員,直接登錄國外DNS主機網站,以管理網站日常更新,或者更新企業DNS各項記錄的資訊。若他們的密碼被盜,黑客便可直接竄改DNS資料。
所以,加強DNS管理亦可從管理人員著手。除了定期改變登錄密碼,亦可選用不同方式,以建立更加難破解的密碼。例如,加入可加入DNS註冊鎖,每次更改DNS會受監察。另外使用雙重認證之類的軟件,登入要求密碼之外,再以其他手段,加強確認管理員真正身份。
最後,管理員亦經常更新DNS 軟件或管理軟件,雖然上述似是老生常談,仍是堵截黑客攻擊不二法門。
作者:梁定康(Andy Leung),資深IT保安專家,現職設計IT保安及企業網絡