伊朗疑涉入全球性 DNS 攔截綁架攻擊
- 發布單位:TWCERT/CC
- 更新日期:2020-05-26
- 點閱次數:444
資安廠商 FireEye 指出,近來一連串針對全球各組織的 DNS 攔截綁架攻擊事件,幕後很可能與伊朗政府有關。
近來許多中東、北非、北美和歐洲的政府組織、ISP、網路基礎設施、電信服務業者、重要商業組織紛紛遭到 DNS 攔截綁架攻擊事件;美國資安公司 FireEye 指出,有相當證據證明這些攻擊事件和伊朗政府有關。
雖然目前還無法確認攻擊者的身分,但FireEye 發現,用來存取遭攻擊單位裝置的 IP,過去曾經用在由伊朗發動的網路攻擊事件之中。
這一連串攻擊事件中,攻擊者同時使用三種不同手法操弄 DNS,並攔截竊取受害者的網路通訊。其中一種攻擊手法是以竊得的登入資訊,進入 DNS 管理者的管理界面竄改 DNS 的 A 記錄,以便取得郵件通聯內容;另一種則是在駭入受害者的域名註冊者後更改 DNS 的 NS 記錄。
為避免遭到懷疑,入侵者使用免費的 Let’s Encrypt 加密認證,因此受害者僅會感到連線稍微變慢,很難發現任何竄改跡象。
參考連結:
https://www.securityweek.com/iran-linked-dns-hijacking-attacks-target-organizations-worldwide
https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html