尴尬!资安业者Fox-IT坦承遭遇MitM攻击，网域一度被接管长达10小时

专为政府、国防、重大基础设施提供IT安全服务的Fox-IT上周坦承曾于今年9月沦为中间人（Man-in-the-Middle，MitM）攻击的受害者，骇客接管Fox-IT特定网域长达10小时之久，窃取了Fox-IT用户的登入凭证，也曾一度拦截Fox-IT的电子邮件流量。

根据Fox-IT的说明，骇客是在今年的9月19日利用有效的凭证登入第三方的网域名称注册商，存取了Fox-IT.com的DNS纪录，并变更其中一个DNS纪录，将Fox-IT服务器的流量导至骇客控管的服务器上，拦截了原本属于Fox-IT服务器上的流量。

骇客的攻击目标为Fox-IT的ClientPortal文件交换服务，Fox-IT的客户、供应商与其他组织都利用该服务进行档案的安全交换。

骇客接管该服务的时间为10小时又24分钟，Fox-IT说，这对于坊间一般需要数周才能侦测到相关攻击的平均时间而言，已经很短了，但仍然无法杜绝骇客拦截借由该服务传输的档案与资讯。

根据Fox-IT的分析，骇客拦截了9名用户的登入凭证、10个档案、一个电话号码、一些名字与电子邮件账号，以及曾于ClientPortal交换档案的客户列表。在10个档案中，只有3个被列为保密（Confidential）文件，并未有机密（Secret）等级的文件在内，而虽然有9名用户的登入凭证遭存取，但因Fox-IT采用双因素认证，骇客无法直接利用相关凭证登入ClientPortal。

此外，骇客亦曾干预Fox-IT的电子邮件流量，虽然最多只有10分钟，不过Fox-IT并无法确认这10分钟之内有哪些原本要寄给该公司的邮件被拦客拦截了。

这起意外让Fox-IT展开全面的内部调查，寻找骇客取得有效DNS凭证的管道，该公司相信骇客是透过第三方入侵，而非自内部系统窃取。

Fox-IT意有所指的表示，该公司的DNS服务供应商并未启用双因素认证，骇客只要结合账号及密码就能存取管理界面，而这似乎是目前DNS服务供应商的常态，若网站业者询问自家的服务供应商，答案可能也会令人吃惊。