駭客先藉由GCP開採使用者家中的路由器,並透過惡意DNS伺服器,將使用者的流量導至惡
意網站,受影響的路由器業者包括D-Link、TOTOLINK、Secutech及ARG-W4
資安業者Bad Packets及網路測試業者Ixia最近幾個月相繼偵測到大規模鎖定家用路由器
的DNS挾持攻擊,受到波及的路由器品牌涵蓋D-Link、TOTOLINK、Secutech及ARG-W4等品
牌,且相關攻擊全是利用Google Cloud Platform(GCP)的資源。
DNS如同網路上的電話號碼簿,可將使用者所輸入的網域名稱直接轉成IP位址,家用路由
器上通常會有內建的DNS伺服器,亦允許使用者指定DNS伺服器,當駭客竄改了路由器的
DNS伺服器設定時,就能將使用者的流量導至駭客所掌控的惡意伺服器,也許是為了執行
廣告點選詐騙,更多的是進行網釣攻擊以竊取用戶憑證。
Bad Packets率先偵測到3波的DNS挾持攻擊,它們先後出現在去年的12月、今年的2月,以
及今年的3月,Ixia緊接著在4月發現新一波的路由器DNS挾持攻擊,駭客先藉由GCP開採使
用者家中的路由器,把路由器中的DNS設定改為駭客所掌控的版本,並透過在OVH或GCP上
所架設的惡意DNS伺服器,將使用者的流量導至惡意網站。
Ixia發現駭客鎖定了Paypal、Gmail、Uber及Netflix等知名網站,以及巴西的代管服務供
應商與巴西金融組織,以惡意DNS伺服器將受害者導至假冒的上述網站並騙取使用者的登
入憑證,這些偽造的網站在外觀上與正牌網站一模一樣,但卻採用未加密的HTTP傳輸協定
。
Bad Packets認為,相較於其它的競爭對手,GCP似乎更容易遭到濫用,只要具備Google帳
號就能以瀏覽器存取Google Cloud Shell,再透過指令使用雲端資源,有鑑於這些虛擬機
器的短暫特質,再加上Google對於濫用檢舉的反應並不快,皆使得這類的惡意行為難以防
範。
不過,Google回應了Ars Technica的詢問,表示正在建立可辨識任何新興威脅的規則,也
會偵測並移除那些違反Google服務條款的帳號,或是暫時關閉有疑慮的帳號。
安全研究人員則建議使用者應定期更新路由器韌體,或是檢查路由器上的DNS設定是否曾
被竄改。
https://ithome.com.tw/news/129819