01警告升级:40家机构、13国遭“海龟”盯上
思科Talos安全团队最新通报:名为“海龟(Sea Turtle)”的攻击团伙已把全球13个国家的至少40家政府机构、关键基础设施与科研单位拉入射程。虽然DNS劫持并非新鲜事物,但海龟的作案手法却让旧案添了新疤。
02作案升级:从“重定向”到“窃听+扫描”
过去多数DNS攻击只是把查询重定向到恶意域名,流量止步于攻击服务器。海龟却搭建了自己的域名服务器并植入嗅探模块,实时监听客户端与服务器之间的所有DNS请求,顺手把凭证、配置文件、敏感日志一并打包带走。
更危险的是,攻击者不再“单点狙击”,而是直接扫描整个域名注册表,一次性把子域、MX、TXT等所有记录纳入囊中,批量复制、批量篡改,效率翻倍。
03溯源四年:2017年1月就已启动
报告显示,海龟的潜伏期可追溯至2017年1月,至今仍在持续。思科强调,此次被点名的并非近期新发现,而是四年持续运营的“慢火炖毒”项目。早在2019年1月,美国政府就曾发出DNS劫持预警,建议组织加固域名访问链路,但显然提醒并未被足够重视。
04攻击逻辑:先钓鱼,再锁喉
海龟的入侵套路并不依赖零日漏洞或全新后门,而是经典“鱼叉钓鱼+已知漏洞”组合:
伪造邮件或恶意附件渗透第一道防线;
利用过期弱口令、未打补丁的远程桌面快速横向移动;
劫持单一DNS记录通常只需几分钟,最长数天即可完成全域渗透;
攻击目的并非勒索赎金,而是持续收集情报与机密数据。
05防御指南:三把锁守住DNS安全
面对仍在扩张的海龟网络,思科Talos给出三条硬措施:
注册表锁定:启用“只读+白名单”机制,任何新增或修改必须二次授权;
多因子认证:域名注册、转移、解锁全部强制MFA,杜绝“账号+密码”双保险;
纵深防御+用户教育:打补丁、改弱口令、限制远程桌面权限,并定期演练钓鱼场景。
只有把“锁”装在流程里,而不是只装在密码箱里,才能真正让海龟望而却步。
原创文章,作者:何敏,如若转载,请注明出处:http://www.gaochengzhenxuan.com/keji/7771.html
