位于荷蘭的IT安全提供商Fox-IT披露,曾在2017年9月遭到不明身份的黑客發起的中間人攻擊,攻擊持續10個小時24分鐘。
攻擊過程
Fox-IT表示,黑客劫持了公司的域名,隨后以Fox-IT的名義獲取SSL證書。之后,黑客將域名指向受控的私有VPS(虛擬專用服務器)服務器,進而執行中間人攻擊,接收本應流向Fox-IT域名的流量,憑借SSL證書讀取HTTPS連接的內容,隨后將用戶重定向回真正的Fox-IT服務器。
荷蘭網絡安全公司Fox-IT遭遇中間人攻擊-E安全
黑客僅以Fox-IT的用戶門戶網站為目標
Fox-IT表示,黑客只對攔截ClientPortal網站的流量感興趣。攻擊者攔截了登錄嘗試、憑證和發送給ClientPortal的文件,共攔截了9名用戶的憑證和12份文件。
受影響用戶數量不多的原因在于,Fox-IT在事發5個小時后檢測到了這起域名劫持事件和中間人攻擊,并禁用了雙因素認證服務,從而有效地阻止用戶登錄并暴露其它重要的文件和數據。
除此之外,Fox-IT迅速通知了受影響的客戶,并重置了遭攔截的密碼。Fox-IT表示,遭攔截的文件中并不包含“機密”文件,只有少數文件包含敏感信息。其它文件和數據包含手機號碼、ClientPortal用戶的名稱和電子郵箱,以及ClientPortal賬戶名。
Fox-IT遭遇攻擊后如何響應?
Fox-IT表示,行業平均檢測威脅所需時間為幾周,而他們的速度明顯超出平均水平。這家公司還表示已向荷蘭執法機構上報了該事件。這起攻擊從發生到披露的詳細時間如下:
2017年9月16日:攻擊者針對Fox-IT的基礎設施展開首次探測活動,包括常規的端口 掃描漏洞掃描和其它掃描活動。
2017年9月19日, 00:38:攻擊者第三方提供商處修改了fox-it.com 域名的DNS記錄。
2017年9月19日, 02:02: 這是Fox-IT能夠確定clientportal.fox-it.com仍指向合法ClientPortal 服務器的最后時間,當時流向ClientPortal的流量未遭遇攔截。
2017年9月19日, 02:05-02:15:攻擊者臨時重定向并攔截了Fox-IT的電子郵件,其目的是為了證明他們在為ClientPortal 注冊虛假SSL證書的過程中獲取了Fox-IT的域名。
2017年9月19日, 02:21:真正開始啟動針對ClientPortal中間人攻擊。此時,ClientPortal的欺騙性SSL證書已到位,clientportal.fox-it.com的IPDNS記錄已被修改指向國外VPS提供商。
2017年9月19日, 07:25:經Fox-IT判斷,fox-it.com的域名服務器已被重定向,而這種更改操作并未經過授權。Fox-IT將DNS設置改回自己的域名服務器,并修改了域名注冊賬戶的密碼。由于域名名稱系統的緩存和分布式性質,修改需要一定的時間完全生效。
2017年9月19日, 12:45:Fox-IT禁用了ClientPortal登錄認證系統的雙因素驗證(通過文本信息),從而有效阻止ClientPortal用戶成功登錄后遭遇流量攔截。此外,為了不打草驚蛇Fox-IT仍保持ClientPortal正常運作。此時,從技術角度來講中間人攻擊仍然處于活躍狀態,但卻也無法接收流量實施攔截,因為用戶無法執行雙因素驗證和登錄操作。
2017年9月19日-20日:Fox-IT對此展開完整的調查,同時通知了受影響的所有用戶和荷蘭數據保護局等相關方。警方為此展開調查。基于Fox-IT的調查,攻擊已得到全面控制,該公司正準備在ClientPortal上重新啟用雙因素認證。
2017年9月20日, 15:38:ClientPortal恢復正常運行。Fox-IT的內部調查工作仍在繼續。