思科：国家级骇客持续攻击中东及北非国家的DNS系统

思科（Cisco）旗下的威胁情报组织Talos揭露一起名为“海龟”（Sea Turtle）攻击行动，指称该行动从2017年1月到今年第一季，持续锁定中东及北非地区13个国家的逾40个组织发动DNS攻击，而且相信此一攻击是由国家支持的骇客所为。

“海龟行动”以DNS挟持作为主要的攻击手法，借由非法窜改DNS名称纪录把造访者导至骇客所掌控的服务器。该行动的主要受害者为国家安全组织、外交部、知名能源组织，以及替这些组织提供服务的第三方业者发动；而次要受害者则是DNS注册商、电信业者与ISP业者。

值得注意的是，骇客通常以第三方业者作为跳板来攻击目标对象。

其实外界已经察觉了“海龟行动”。瑞典的中立网络基础设施Netnod在今年1月遭到骇客攻击，坦承Netnod并非骇客的终极目标，骇客只是借由Netnod取得其它国家之网络服务的登入凭证，受害者遍布中东、北非、欧洲与北美。而资安业者FireEye也在1月公布一起全球性的DNS挟持攻击，并推测骇客源自伊朗。

Talos认为，“海龟行动”显示出骇客的高度攻击能力与“厚颜无耻”。因为大多数的攻击行动在被公开揭露之后就会停止或放缓，但主导“海龟行动”的骇客却不受阻挠地持续进行攻击。研究人员估计设计精密的“海龟行动”至少开采了7个安全漏洞，这些漏洞涉及phpMyAdmin、GNU bash系统、思科交换器、思科路由器、思科安全装置、执行Tomcat的Apache服务器，以及Drupal等。

此外，DNS挟持只是骇客达到目的的手段，研究人员相信骇客的目的是为了窃取可存取目标系统或网络的凭证；先控制了目标对象的DNS纪录，再变更DNS纪录以将使用者引导至骇客服务器，进而骗取使用者凭证，并利用这些凭证长期存取受害网络或系统。

Talos建议各大组织或企业可启用注册锁住服务（registry lock service），以避免DNS纪录遭到不明窜改，或是替DNS的存取设定多重身份认证机制，假设怀疑已遭到骇客入侵，则最好全面更换用户密码，并修补各种已被公开的安全漏洞。