4年前，特朗普集團經受了一次重大網絡入侵，案犯從該公司域名發起惡意軟件攻擊，可能取得了對該公司計算機網絡的訪問權。直到本周，特朗普的這家公司才發現被滲透的事實。

2013年，黑客獲取了特朗普集團域名注冊賬戶，創建了被網絡安全專家稱為“影子”子域名的250多個網站子域名。每個影子特朗普子域名都指向一個俄羅斯IP地址，這意味著這些子域名都托管在俄羅斯網絡資源上。(注：每個網站域名都與1個或多個IP地址相關聯。這些地址供互聯網找到托管著網站的服務器。真正的特朗普集團域名，應指向美國或該公司設有分部的國家境內的IP地址。)該公司域名的公開記錄中，甚至都可看到這些影子子域名。

這些子域名及其關聯IP地址，不止一次出現在著名研究數據庫列出的潛在惡意軟件活動中。這些影子子域名中，絕大部分直到本周都還活躍，說明特朗普集團根本沒有采取任何措施。也表明了該公司在過去4年里壓根兒沒意識到自己被黑了。網絡安全專家認為，如果注意到該滲透事件，特朗普集團肯定會立即停用這些影子子域名。

2周前，一名不愿透露身份的計算機安全專家聯系了媒體，提供了特朗普集團影子子域名列表。他給出了自己對此事的理解。某黑客，或黑客組織，獲取到了特朗普集團GoDaddy域名注冊賬戶權限。與其他公司企業一樣，特朗普集團也注冊了一系列域名，其中很多都從未使用過。比如：BarronTrump.com、DonaldTrump.org、ChicagoTrumpTower.com、CelebrityPokerDealer.com和DonaldTrumpPyramidScheme.com。這些影子子域名的存在，說明特朗普的商業網絡中存在安全漏洞，為未知人士開辟了利用可能性——使用這些特朗普集團子域名以發起攻擊，誘騙世界各地的計算機用戶交出敏感信息，讓攻擊者秘密訪問他們的計算機和網絡。

事實上，與虛假子域名相關聯的IP地址，鏈向了某個托管著至少1個惡意網站的IP地址。這些惡意網站曾被黑客用于部署漏洞利用工具包，使攻擊者可獲取計算機用戶的口令和登錄憑證，或者拿下另一臺計算機并竊取其中文件。

任何基本的安全審計都會揭露出這些子域名的存在，暴露出它們鏈向的服務器。取決于流經這些服務器的數據流量，往好了說，這是工作疏忽；往壞了說，這就是刑事過失。

上百個特朗普域名中的每一個，入侵者都創建了2個影子子域名，這些影子子域名基本上遵循一種模式：在真實域名前加上3-7個隨機字母。

比如：bfdh.BarronTrump.com和dhfb.BarronTrump.com；bfch.DonaldTrump.org和bxdc.DonaldTrump.org；cesf.ChicagoTrumpTower.com和vsrv.ChicagoTrumpTower.com；dxgrg.CelebrityPokerDealer.com和vsrfg.CelebrityPokerDealer.com；bdth.DonaldTrumpPyramidscheme.com和drhg.DonaldTrumpPyramidScheme.com。

這些影子子域名的可用歷史數據表明，其中大多數都是在2013年8月時創建的。影子子域名剛被創建時，鏈向俄羅斯圣彼得堡某網絡17個IP地址中的一個，托管在名為“彼得堡互聯網網絡”的公司旗下服務器上。(注：該公司是一家服務器提供商，以托管惡意服務器聞名。)

2015年1月一篇關于虛假IP路由和惡意軟件的博客文章中，Dyn公司互聯網分析總監道格·馬多里，將“彼得堡互聯網網絡”比作網絡暴徒聚居地。目前，這些影子子域名的IP地址，注冊到了俄羅斯的另一家公司名下。多名網絡安全專家稱，IP地址歸屬俄羅斯，未必意味著特朗普集團入侵事件就源于俄羅斯。

特朗普集團影子子域名指向的IP地址范圍是：46.161.27.184~46.161.27.200。這些地址是某個更大網絡的一部分。2013年10月，一位安全研究員發現BewareCommaDelimited.org網站部署了漏洞利用工具包，意圖盜取目標計算機的口令和其他信息，并指出該網站關聯的IP為46.161.27.176。這個IP地址就與特朗普集團影子子域名的IP地址同處一個網絡——表明這些子域名很可能隸屬用于部署惡意軟件的網絡。

本周，名為肖恩·艾博的研究員發布了一篇博客文章，強調了影子子域名的存在，并在數周前就已在某推特中被引用過。艾博寫道：“注冊到特朗普集團名下的250多個子域名，會將流量重定向到位于俄羅斯圣彼得堡的計算機。”

另一位計算機安全專家指出，該子域名網絡可能是某犯罪集團建立的，目的是將特朗普集團的計算機系統，用作對其他實體發起各種網絡攻擊的平臺。不過，他補充道，意圖滲透特朗普集團的國家或非國家黑客，也有可能利用該漏洞。“至少，這顯露出了特朗普集團的糟糕運營。”

艾博的博客文章中寫道：“這么大的企業，再加上總統大選牽涉的安全考慮和審查，其IT部門沒有任何理由不發現這一安全缺失。任何基本的安全審計都會揭露出這些子域名的存在，暴露出它們鏈向的服務器。取決于流經這些服務器的數據流量，往好了說，這是工作疏忽；往壞了說，這就是刑事過失。”

特朗普集團所有合法域名，還有可疑子域名，均是通過GoDaddy注冊的。影子子域名的創建表明，黑客入侵了該公司GoDaddy賬戶，而基于該賬戶被滲透的方式，入侵者還有可能獲取到了特朗普集團網絡中其他計算機的訪問權。

Raw Hex，一家微電子及計算機編程培訓初創企業，其網絡安全專家史蒂夫·羅德稱，特朗普集團影子子域名的創建，就是影子域名的經典案例。特朗普集團影子子域名，符合2011年讓GoDaddy客戶受到重擊的重大影子域名事件模式——GoDaddy是全球大型域名注冊機構之一。

2015年3月，思科Talos安全情報與研究小組威脅研究員尼克·比亞西尼，在博客文章中描述了影子域名機制：

這些賬戶通常都是通過網絡釣魚被入侵的。黑客以憑證登錄賬戶，然后創建大量子域名。因為很多用戶都有多個域名，這種方法可提供幾乎無限的域名供應。該方法可有效規避掉常規檢測技術，比如對網站或IP地址應用的黑名單技術。

文章中，比亞西尼指出，影子域名的方法可追溯至2011年，而且正如技術領域里其他所有事情一樣，隨著時間流逝而愈趨復雜。

網絡人員發現可疑惡意軟件進入自家網絡或在外部網絡興風作浪時，他們通常會將此信息共享給公開惡意軟件數據庫，以便廣大信息安全社區及時注意并分析該潛在惡意軟件。特朗普集團相關子域名中，有很多都被IT人員和安全研究員標記為可疑惡意軟件載體，并被上傳到了惡意軟件研究數據庫VirusTotal。

分析疑似惡意軟件相關URL的網絡安全公司，會將自己的發現交給VirusTotal列出。根據VirusTotal列表，俄羅斯殺毒軟件公司卡巴斯基，檢測到了特朗普相關子域名中，有很多都與惡意軟件相關聯。盡管近段時間卡巴斯基被懷疑與俄羅斯政府有染，盜取美國政府計算機的數據，很多安全研究人員仍然認為，該公司在識別俄羅斯惡意軟件上技高一籌。

卡巴斯基發現了該惡意軟件而其他安全公司沒有，就很說明問題了。這幾乎可以作為該惡意軟件復雜性的一個衡量標準。

給出影子子域名列表的網絡安全研究員稱，他找不到這些子域名的任何合法使用。他說，攻擊者對特朗普集團域名的完整入侵范圍尚不明朗，但從該IP地址范圍發起攻擊的黑客，具備發動高度復雜的網絡襲擊的能力。

“我不得不認為特朗普集團網絡中的文件及郵件服務器，可能是用于對美國總統下手的全球最大型信息倉庫。”同時，他還指出，該事件反映出特朗普集團的IT安全沒有做到位：“問題關鍵在于：他們壓根兒沒發現。”

對于媒體的評論請求，特朗普集團發出了如下聲明：

特朗普集團沒有被黑，所涉域名均未托管任何活躍網站，也沒有任何內容。發布任何與此相悖言論的行為是極端不負責任的。另外，我們與所提及的“影子域名”沒有任何聯系，并正與我們的第三方域名注冊商調查你們的問詢。這些域名上沒有檢測到任何惡意軟件，我們的安全團隊嚴肅對待所有威脅。

向媒體揭露了這批子域名的安全專家證實，這些影子子域名確實“當前沒有托管任何活躍網站，也沒有理由認為目前還有什么惡意軟件在這些域名上活躍。但是，因為有人創建了這幾百個域名記錄，特朗普集團的注冊機構賬戶應該是被黑了；且如果注冊人不是特朗普集團的人，那就只能是未授權人士了。

看到特朗普集團的聲明后，網絡安全專家羅德回復道：

有2種可能情況。要么他們把自己的域名記錄指向了托管在俄羅斯圣彼得堡的服務器，要么另有其人干了這事兒。無論哪種情況，問題是：為什么要這么做？對于一家被疑與俄羅斯有染而面臨多起調查的公司，我希望他們在全盤否認之前，先想想有沒有可能是自家域名被劫持了。

特朗普集團并未回復后續問題，且影子子域名見報之后，相關記錄就開始消失了。

特朗普集團影子子域名列表：

https://pastebin.com/D0Ux1HxL