資深安全從業(yè)者Bad Packets及網(wǎng)絡(luò)測試業(yè)者Ixia最近幾個月相繼偵測到大規(guī)模鎖定家用路由器的DNS挾持攻擊,受到波及的路由器品牌涵蓋D-Link、TOTOLINK、Secutech及ARG-W4等品牌,且相關(guān)攻擊全是利用Google Cloud Platform(GCP)的資源。
NS如同網(wǎng)絡(luò)上的電話號碼簿,可將使用者所輸入的網(wǎng)域名稱直接轉(zhuǎn)成IP位址,家用路由器上通常會有內(nèi)建的DNS伺服器,亦允許使用者指定DNS伺服器,當黑客竄改了路由器的DNS伺服器設(shè)定時,就能將使用者的流量導(dǎo)至黑客所掌控的惡意伺服器,也許是為了執(zhí)行廣告點選詐騙,更多的是進行網(wǎng)釣攻擊以竊取用戶憑證。
ad Packets率先偵測到3波的DNS挾持攻擊,它們先后出現(xiàn)在去年的12月、今年的2月,以及今年的3月,Ixia緊接著在4月發(fā)現(xiàn)新一波的路由器DNS挾持攻擊,黑客先藉由GCP開采使用者家中的路由器,把路由器中的DNS設(shè)定改為黑客所掌控的版本,并透過在OVH或GCP上所架設(shè)的惡意DNS伺服器,將使用者的流量導(dǎo)至惡意網(wǎng)站。
Iia發(fā)現(xiàn)黑客鎖定了Paypal、Gmail、Uber及Netflix等知名網(wǎng)站,以及巴西的代管服務(wù)供應(yīng)商與巴西金融組織,以惡意DNS伺服器將受害者導(dǎo)至假冒的上述網(wǎng)站并騙取使用者的登入憑證,這些偽造的網(wǎng)站在外觀上與正牌網(wǎng)站一模一樣,但卻采用未加密的HTTP傳輸協(xié)定。
BadPackets認為,相較于其它的競爭對手,GCP似乎更容易遭到濫用,只要具備Google帳號就能以瀏覽器存取Google Cloud Shell,再透過指令使用云端資源,有鑒于這些虛擬機器的短暫特質(zhì),再加上Google對于濫用檢舉的反應(yīng)并不快,皆使得這類的惡意行為難以防范。
不過,Gogle回應(yīng)了Ars Technica的詢問,表示正在建立可辨識任何新興威脅的規(guī)則,也會偵測并移除那些違反Google服務(wù)條款的帳號,或是暫時關(guān)閉有疑慮的帳號。
安全研究員則建議使用者應(yīng)定期更新路由器韌體,或是檢查路由器上的DNS設(shè)定是否曾被竄改。