美國國土安全部(Department of Homeland Security,DHS)在1月22日發出緊急指令(Emergency Directive),有多個美國聯邦網站的網域名稱系統(DNS)遭到駭客挾持,要求所有.gov的美國聯邦網站在10個工作天內採取防禦行動。

DHS表示,旗下的網路安全及基礎設施安全局(Cybersecurity and Infrastructure Security Agency)正在追蹤一系列有關DNS基礎設施遭到竄改的意外,顯示駭客破壞了使用者的憑證,或是藉由其它方法取得了憑證,再竄改DNS的各種紀錄,包括地址、郵件交換器或名稱伺服器紀錄,將它們置換成駭客所掌控的位址,得以先將使用者流量變更至駭客所控制的架構,再轉回合法服務,所造成的安全風險高過於只是短期重新定向使用者流量的作法。

由於駭客可設定DNS的紀錄,因此也能獲得聯邦網站網域名稱的加密憑證,能解密流量,曝露使用者所提交的任何資料,而且難以被發現。

這使得DHS祭出了緊急指令,要求所有.org或其它由聯邦機構負責的網域名稱都必須在10個工作天內稽核DNS伺服器,檢查這些DNS紀錄是否曾遭到竄改;同時更新所有可竄改DNS紀錄之帳號的密碼;針對這些帳號全面採用多因素認證(MFA)機制。

資安業者FireEye在1月上旬才揭露一起全球性的DNS挾持攻擊,受害者遍布北美、歐洲、中東及北非,並推測相關攻擊是由與伊朗政權利益一致的伊朗人所支持,目前並不確定DHS的警告與FireEye的研究是否有關,但從攻擊手法看來是類似的。


Advertisement

更多 iThome相關內容