骇客先借由GCP开采使用者家中的路由器,并透过恶意DNS服务器,将使用者的流量导至恶
意网站,受影响的路由器业者包括D-Link、TOTOLINK、Secutech及ARG-W4
资安业者Bad Packets及网络测试业者Ixia最近几个月相继侦测到大规模锁定家用路由器
的DNS挟持攻击,受到波及的路由器品牌涵盖D-Link、TOTOLINK、Secutech及ARG-W4等品
牌,且相关攻击全是利用Google Cloud Platform(GCP)的资源。
DNS如同网络上的电话号码簿,可将使用者所输入的网域名称直接转成IP位址,家用路由
器上通常会有内建的DNS服务器,亦允许使用者指定DNS服务器,当骇客窜改了路由器的
DNS服务器设定时,就能将使用者的流量导至骇客所掌控的恶意服务器,也许是为了执行
广告点选诈骗,更多的是进行网钓攻击以窃取用户凭证。
Bad Packets率先侦测到3波的DNS挟持攻击,它们先后出现在去年的12月、今年的2月,以
及今年的3月,Ixia紧接着在4月发现新一波的路由器DNS挟持攻击,骇客先借由GCP开采使
用者家中的路由器,把路由器中的DNS设定改为骇客所掌控的版本,并透过在OVH或GCP上
所架设的恶意DNS服务器,将使用者的流量导至恶意网站。
Ixia发现骇客锁定了Paypal、Gmail、Uber及Netflix等知名网站,以及巴西的代管服务供
应商与巴西金融组织,以恶意DNS服务器将受害者导至假冒的上述网站并骗取使用者的登
入凭证,这些伪造的网站在外观上与正牌网站一模一样,但却采用未加密的HTTP传输协定
。
Bad Packets认为,相较于其它的竞争对手,GCP似乎更容易遭到滥用,只要具备Google帐
号就能以浏览器存取Google Cloud Shell,再透过指令使用云端资源,有鉴于这些虚拟机
器的短暂特质,再加上Google对于滥用检举的反应并不快,皆使得这类的恶意行为难以防
范。
不过,Google回应了Ars Technica的询问,表示正在建立可辨识任何新兴威胁的规则,也
会侦测并移除那些违反Google服务条款的帐号,或是暂时关闭有疑虑的帐号。
安全研究人员则建议使用者应定期更新路由器韧体,或是检查路由器上的DNS设定是否曾
被窜改。
https://ithome.com.tw/news/129819