报道称,一个黑客组织已经追踪政府领域 - 他们针对13个国家的40个政府和情报机构,电信和互联网巨头进行了两年多的针对性研究。Wired说,这是一个新的,复杂的黑客团队,他们会监视数十个目标。
“这是一个以相对独特的方式运营的新团队,我们以前从未见过,使用新的策略,技术和程序,”思科Talos公司外联主管Craig Williams告诉TechCrunch。
研究人员确定了这项运动并将其命名为“海龟”。他们是思科的Talos网络安全部门。TechCrunch的安全编辑Zack Whittaker 对这些发现进行了扩展:该部门在发现一个以未被发现的黑客组织为目标的互联网基础设施的核心部分后,“敲响了警钟”。
海龟是如何工作的:TechRadar的 Anthony Spadafora表示,它通过劫持他们的DNS将目标公司的域名指向恶意服务器而非目标目标。
Ars Technica扩展了解释发生的事情:
Dan Goodin写道,“攻击者首先改变目标DNS注册商,电信公司和互联网服务提供商(如Cafax和Netnod等公司)的DNS设置。然后,攻击者利用他们对这些服务的控制来攻击使用这些服务的主要目标。”
Spadafora表示,实际上,该漏洞利用了DNS中一些长期存在的缺陷,这些漏洞可以用来“欺骗毫无戒心的受害者,将他们的凭据归咎于伪造的登录页面。”
他说,“通过使用自己的HTTPS证书作为目标域名,攻击者可以使恶意服务器显得真实。”
根据Talos的说法,黑客入侵瑞典DNS提供商Netnod。Talos团队在博客中写道:“在另一个案例中,攻击者能够妥协NetNod,一个位于瑞典的非营利性独立互联网基础设施组织。” Ars Technica表示,Netnod也是i.root的运营商,i.root是互联网基础的13个DNS根服务器之一。
根据Talos的说法,黑客利用这种技术来破坏瑞典DNS提供商Netnod以及支持全球DNS基础设施的13个根服务器之一。
这是一个“非常先进”的黑客组织,“很可能”得到一个民族国家的支持。
Talos团队于4月17日发布了一篇博客,其中包含对可能出现的问题的关注:
“虽然这一事件仅限于主要针对中东和北非的国家安全组织,而且我们不想夸大这一具体运动的后果,但我们担心这次行动的成功将导致行动者更广泛的攻击全球DNS系统。“
与此同时,Goodin指出,“使海龟变得更加成熟的一个原因是它使用了一系列漏洞,它们共同允许其运营商获得初始访问权或在目标组织的网络中横向移动。”
Talos推荐什么作为缓解策略?
Talos建议使用注册表锁定服务,在组织的DNS记录发生任何更改之前要求发送带外消息。
如果您的注册商不提供注册表锁定服务,Talos建议使用多因素身份验证(例如DUO)来访问组织的DNS记录。
“如果您怀疑此类活动入侵是您的目标,我们建议您最好从受信任网络上的计算机进行网络密码重置。最后,我们建议应用补丁,尤其是在面向互联网的计算机上。网络管理员可以监控其域上的被动DNS记录,以检查异常情况。“