聯邦網站成為DNS挾持目標，美國國土安全部發出緊急指令

美國國土安全部（Department of Homeland Security，DHS）在1月22日發出緊急指令（Emergency Directive），有多個美國聯邦網站的網域名稱系統（DNS）遭到駭客挾持，要求所有.gov的美國聯邦網站在10個工作天內採取防禦行動。

DHS表示，旗下的網路安全及基礎設施安全局（Cybersecurity and Infrastructure Security Agency）正在追蹤一系列有關DNS基礎設施遭到竄改的意外，顯示駭客破壞了使用者的憑證，或是藉由其它方法取得了憑證，再竄改DNS的各種紀錄，包括地址、郵件交換器或名稱伺服器紀錄，將它們置換成駭客所掌控的位址，得以先將使用者流量變更至駭客所控制的架構，再轉回合法服務，所造成的安全風險高過於只是短期重新定向使用者流量的作法。

由於駭客可設定DNS的紀錄，因此也能獲得聯邦網站網域名稱的加密憑證，能解密流量，曝露使用者所提交的任何資料，而且難以被發現。

這使得DHS祭出了緊急指令，要求所有.org或其它由聯邦機構負責的網域名稱都必須在10個工作天內稽核DNS伺服器，檢查這些DNS紀錄是否曾遭到竄改；同時更新所有可竄改DNS紀錄之帳號的密碼；針對這些帳號全面採用多因素認證（MFA）機制。

資安業者FireEye在1月上旬才揭露一起全球性的DNS挾持攻擊，受害者遍布北美、歐洲、中東及北非，並推測相關攻擊是由與伊朗政權利益一致的伊朗人所支持，目前並不確定DHS的警告與FireEye的研究是否有關，但從攻擊手法看來是類似的。