特朗普集團4年前就被黑了 但他們一無所知

責(zé)任編輯:editor005

作者:nana

2017-11-07 15:35:24

摘自:安全牛

上百個特朗普域名中的每一個,入侵者都創(chuàng)建了2個影子子域名,這些影子子域名基本上遵循一種模式:在真實域名前加上3-7個隨機字母。

4年前,特朗普集團經(jīng)受了一次重大網(wǎng)絡(luò)入侵,案犯從該公司域名發(fā)起惡意軟件攻擊,可能取得了對該公司計算機網(wǎng)絡(luò)的訪問權(quán)。直到本周,特朗普的這家公司才發(fā)現(xiàn)被滲透的事實。

2013年,黑客獲取了特朗普集團域名注冊賬戶,創(chuàng)建了被網(wǎng)絡(luò)安全專家稱為“影子”子域名250多個網(wǎng)站子域名。每個影子特朗普子域名都指向一個俄羅斯IP地址,這意味著這些子域名都托管在俄羅斯網(wǎng)絡(luò)資源上。(注:每個網(wǎng)站域名都與1個或多個IP地址相關(guān)聯(lián)。這些地址供互聯(lián)網(wǎng)找到托管著網(wǎng)站的服務(wù)器。真正的特朗普集團域名,應(yīng)指向美國或該公司設(shè)有分部的國家境內(nèi)的IP地址。)該公司域名的公開記錄中,甚至都可看到這些影子子域名。

這些子域名及其關(guān)聯(lián)IP地址,不止一次出現(xiàn)在著名研究數(shù)據(jù)庫列出的潛在惡意軟件活動中。這些影子子域名中,絕大部分直到本周都還活躍,說明特朗普集團根本沒有采取任何措施。也表明了該公司在過去4年里壓根兒沒意識到自己被黑了。網(wǎng)絡(luò)安全專家認為,如果注意到該滲透事件,特朗普集團肯定會立即停用這些影子子域名。

2周前,一名不愿透露身份的計算機安全專家聯(lián)系了媒體,提供了特朗普集團影子子域名列表。他給出了自己對此事的理解。某黑客,或黑客組織,獲取到了特朗普集團GoDaddy域名注冊賬戶權(quán)限。與其他公司企業(yè)一樣,特朗普集團也注冊了一系列域名,其中很多都從未使用過。比如:BarronTrump.com、DonaldTrump.org、ChicagoTrumpTower.com、CelebrityPokerDealer.com和DonaldTrumpPyramidScheme.com。這些影子子域名的存在,說明特朗普的商業(yè)網(wǎng)絡(luò)中存在安全漏洞,為未知人士開辟了利用可能性——使用這些特朗普集團子域名以發(fā)起攻擊,誘騙世界各地的計算機用戶交出敏感信息,讓攻擊者秘密訪問他們的計算機和網(wǎng)絡(luò)。

事實上,與虛假子域名相關(guān)聯(lián)的IP地址,鏈向了某個托管著至少1個惡意網(wǎng)站的IP地址。這些惡意網(wǎng)站曾被黑客用于部署漏洞利用工具包,使攻擊者可獲取計算機用戶的口令和登錄憑證,或者拿下另一臺計算機并竊取其中文件。

任何基本的安全審計都會揭露出這些子域名的存在,暴露出它們鏈向的服務(wù)器。取決于流經(jīng)這些服務(wù)器的數(shù)據(jù)流量,往好了說,這是工作疏忽;往壞了說,這就是刑事過失。

上百個特朗普域名中的每一個,入侵者都創(chuàng)建了2個影子子域名,這些影子子域名基本上遵循一種模式:在真實域名前加上3-7個隨機字母。

比如:bfdh.BarronTrump.com和dhfb.BarronTrump.com;bfch.DonaldTrump.org和bxdc.DonaldTrump.org;cesf.ChicagoTrumpTower.com和vsrv.ChicagoTrumpTower.com;dxgrg.CelebrityPokerDealer.com和vsrfg.CelebrityPokerDealer.com;bdth.DonaldTrumpPyramidscheme.com和drhg.DonaldTrumpPyramidScheme.com。

這些影子子域名的可用歷史數(shù)據(jù)表明,其中大多數(shù)都是在2013年8月時創(chuàng)建的。影子子域名剛被創(chuàng)建時,鏈向俄羅斯圣彼得堡某網(wǎng)絡(luò)17個IP地址中的一個,托管在名為“彼得堡互聯(lián)網(wǎng)網(wǎng)絡(luò)”的公司旗下服務(wù)器上。(注:該公司是一家服務(wù)器提供商,以托管惡意服務(wù)器聞名。)

2015年1月一篇關(guān)于虛假IP路由和惡意軟件的博客文章中,Dyn公司互聯(lián)網(wǎng)分析總監(jiān)道格·馬多里,將“彼得堡互聯(lián)網(wǎng)網(wǎng)絡(luò)”比作網(wǎng)絡(luò)暴徒聚居地。目前,這些影子子域名的IP地址,注冊到了俄羅斯的另一家公司名下。多名網(wǎng)絡(luò)安全專家稱,IP地址歸屬俄羅斯,未必意味著特朗普集團入侵事件就源于俄羅斯。

特朗普集團影子子域名指向的IP地址范圍是:46.161.27.184~46.161.27.200。這些地址是某個更大網(wǎng)絡(luò)的一部分。2013年10月,一位安全研究員發(fā)現(xiàn)BewareCommaDelimited.org網(wǎng)站部署了漏洞利用工具包,意圖盜取目標計算機的口令和其他信息,并指出該網(wǎng)站關(guān)聯(lián)的IP為46.161.27.176。這個IP地址就與特朗普集團影子子域名的IP地址同處一個網(wǎng)絡(luò)——表明這些子域名很可能隸屬用于部署惡意軟件的網(wǎng)絡(luò)。

本周,名為肖恩·艾博的研究員發(fā)布了一篇博客文章,強調(diào)了影子子域名的存在,并在數(shù)周前就已在某推特中被引用過。艾博寫道:“注冊到特朗普集團名下的250多個子域名,會將流量重定向到位于俄羅斯圣彼得堡的計算機。”

另一位計算機安全專家指出,該子域名網(wǎng)絡(luò)可能是某犯罪集團建立的,目的是將特朗普集團的計算機系統(tǒng),用作對其他實體發(fā)起各種網(wǎng)絡(luò)攻擊的平臺。不過,他補充道,意圖滲透特朗普集團的國家或非國家黑客,也有可能利用該漏洞。“至少,這顯露出了特朗普集團的糟糕運營。”

艾博的博客文章中寫道:“這么大的企業(yè),再加上總統(tǒng)大選牽涉的安全考慮和審查,其IT部門沒有任何理由不發(fā)現(xiàn)這一安全缺失。任何基本的安全審計都會揭露出這些子域名的存在,暴露出它們鏈向的服務(wù)器。取決于流經(jīng)這些服務(wù)器的數(shù)據(jù)流量,往好了說,這是工作疏忽;往壞了說,這就是刑事過失。”

特朗普集團所有合法域名,還有可疑子域名,均是通過GoDaddy注冊的。影子子域名的創(chuàng)建表明,黑客入侵了該公司GoDaddy賬戶,而基于該賬戶被滲透的方式,入侵者還有可能獲取到了特朗普集團網(wǎng)絡(luò)中其他計算機的訪問權(quán)。

Raw Hex,一家微電子及計算機編程培訓(xùn)初創(chuàng)企業(yè),其網(wǎng)絡(luò)安全專家史蒂夫·羅德稱,特朗普集團影子子域名的創(chuàng)建,就是影子域名的經(jīng)典案例。特朗普集團影子子域名,符合2011年讓GoDaddy客戶受到重擊的重大影子域名事件模式——GoDaddy是全球大型域名注冊機構(gòu)之一。

2015年3月,思科Talos安全情報與研究小組威脅研究員尼克·比亞西尼,在博客文章中描述了影子域名機制:

這些賬戶通常都是通過網(wǎng)絡(luò)釣魚被入侵的。黑客以憑證登錄賬戶,然后創(chuàng)建大量子域名。因為很多用戶都有多個域名,這種方法可提供幾乎無限的域名供應(yīng)。該方法可有效規(guī)避掉常規(guī)檢測技術(shù),比如對網(wǎng)站或IP地址應(yīng)用的黑名單技術(shù)。

文章中,比亞西尼指出,影子域名的方法可追溯至2011年,而且正如技術(shù)領(lǐng)域里其他所有事情一樣,隨著時間流逝而愈趨復(fù)雜。

網(wǎng)絡(luò)人員發(fā)現(xiàn)可疑惡意軟件進入自家網(wǎng)絡(luò)或在外部網(wǎng)絡(luò)興風(fēng)作浪時,他們通常會將此信息共享給公開惡意軟件數(shù)據(jù)庫,以便廣大信息安全社區(qū)及時注意并分析該潛在惡意軟件。特朗普集團相關(guān)子域名中,有很多都被IT人員和安全研究員標記為可疑惡意軟件載體,并被上傳到了惡意軟件研究數(shù)據(jù)庫VirusTotal。

分析疑似惡意軟件相關(guān)URL的網(wǎng)絡(luò)安全公司,會將自己的發(fā)現(xiàn)交給VirusTotal列出。根據(jù)VirusTotal列表,俄羅斯殺毒軟件公司卡巴斯基,檢測到了特朗普相關(guān)子域名中,有很多都與惡意軟件相關(guān)聯(lián)。盡管近段時間卡巴斯基被懷疑與俄羅斯政府有染,盜取美國政府計算機的數(shù)據(jù),很多安全研究人員仍然認為,該公司在識別俄羅斯惡意軟件上技高一籌。

卡巴斯基發(fā)現(xiàn)了該惡意軟件而其他安全公司沒有,就很說明問題了。這幾乎可以作為該惡意軟件復(fù)雜性的一個衡量標準。

給出影子子域名列表的網(wǎng)絡(luò)安全研究員稱,他找不到這些子域名的任何合法使用。他說,攻擊者對特朗普集團域名的完整入侵范圍尚不明朗,但從該IP地址范圍發(fā)起攻擊的黑客,具備發(fā)動高度復(fù)雜的網(wǎng)絡(luò)襲擊的能力。

“我不得不認為特朗普集團網(wǎng)絡(luò)中的文件及郵件服務(wù)器,可能是用于對美國總統(tǒng)下手的全球最大型信息倉庫。”同時,他還指出,該事件反映出特朗普集團的IT安全沒有做到位:“問題關(guān)鍵在于:他們壓根兒沒發(fā)現(xiàn)。”

對于媒體的評論請求,特朗普集團發(fā)出了如下聲明:

特朗普集團沒有被黑,所涉域名均未托管任何活躍網(wǎng)站,也沒有任何內(nèi)容。發(fā)布任何與此相悖言論的行為是極端不負責(zé)任的。另外,我們與所提及的“影子域名”沒有任何聯(lián)系,并正與我們的第三方域名注冊商調(diào)查你們的問詢。這些域名上沒有檢測到任何惡意軟件,我們的安全團隊嚴肅對待所有威脅。

向媒體揭露了這批子域名的安全專家證實,這些影子子域名確實“當前沒有托管任何活躍網(wǎng)站,也沒有理由認為目前還有什么惡意軟件在這些域名上活躍。但是,因為有人創(chuàng)建了這幾百個域名記錄,特朗普集團的注冊機構(gòu)賬戶應(yīng)該是被黑了;且如果注冊人不是特朗普集團的人,那就只能是未授權(quán)人士了。

看到特朗普集團的聲明后,網(wǎng)絡(luò)安全專家羅德回復(fù)道:

有2種可能情況。要么他們把自己的域名記錄指向了托管在俄羅斯圣彼得堡的服務(wù)器,要么另有其人干了這事兒。無論哪種情況,問題是:為什么要這么做?對于一家被疑與俄羅斯有染而面臨多起調(diào)查的公司,我希望他們在全盤否認之前,先想想有沒有可能是自家域名被劫持了。

特朗普集團并未回復(fù)后續(xù)問題,且影子子域名見報之后,相關(guān)記錄就開始消失了。

特朗普集團影子子域名列表:

https://pastebin.com/D0Ux1HxL

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號