攻击者看上路由器将其绑架组成僵尸网路,多半是为了用来从事DDoS攻击,近期有人却将其用于规画更为复杂的网路攻击行动,使得相关手法更难防范。
这起资安事故特别之处在于,攻击者也搭配了DNS的不当组态,而能借此假冒合法的网域名称寄送钓鱼信,使得信件不会被邮件安全系统视为有害。
【攻击与威胁】
骇客绑架网路设备架设僵尸网路,以便进行其他攻击活动,行之有年,近期这种手法也经常用于帮忙攻击者躲过资安系统的侦测,并且从事大规模的行动。
资安业者Infoblox本月14日揭露的新一波僵尸网路攻击,就是典型的例子。骇客绑架MikroTik路由器,利用它们组成僵尸网路,目的是用来发送垃圾邮件,然后散布木马程式。这波攻击行动的特别之处,在于骇客利用DNS记录设定不良,从而逃过电子邮件防护措施的侦测。
Infoblox威胁研究员David Brunsdon指出,由于攻击者滥用这些路由器寄信,使得这些信件看似来自合法网域,使得邮件防护系统可能会因此放行,研究人员是透过DNS进行调查,而能发现整起攻击行动的行踪。
【漏洞与修补】
1月14日Red Hat产品安全工程师Nick Tait在Openwall资安社群讨论区指出,经渗透测试员Aleksei Gorban与3名Google研究人员通报,Rsync存在6项漏洞,并指出其中最严重的弱点相当危险,因为攻击者只要能匿名存取Rsync伺服器,就有机会执行任意程式码,开发团队同日发布3.4.0版修补上述漏洞。这些漏洞很可能会波及全球66万台伺服器,影响范围将会相当广泛。
根据CVSS风险评分,最严重的漏洞是由Google研究员Simon Scannell、Pedro Gallegos、Jasiel Spelman找到的CVE-2024-12084,这项弱点存在于3.2.7版以上的Rsync,发生的原因在于Rsync处理程序对检查码(checksum)的长度验证不当,导致记体缓冲区溢位,CVSS风险评为9.8分(满分10分)。
去年12月、今年1月初美国财政部外国资产控制办公室(OFAC)两度宣布制裁,对从事网路攻击的中国资安业者下手,并指出这些公司不仅参与重大攻击事故,也听令于中国政府,甚至是协助或主导骇客的攻击行动。如今OFAC再度出手,值得留意的是,这次与去年下旬传出攻击美国电信业者的事件有关。
1月17日OFAC针对参与网路攻击的中国人士祭出制裁处份,其中一组人马就是位于四川的中国网路资安公司四川聚信和(Sichuan Juxinhe Network Technology Co., LTD.),以及于上海活动的骇客尹克成(Yin Kecheng)。
其中,最引起关注的是聚信和,原因是他们涉嫌参与中国骇客组织Salt Typhoon攻击美国电信业者的攻击行动,OFAC指出,根据他们的调查,这家中国资安业者不仅直接参加Salt Typhoon活动,而且与中国国家安全部(MSS)保持密切联系。