4年前,特朗普集团经受了一次重大网络入侵,案犯从该公司域名发起恶意软件攻击,可能取得了对该公司计算机网络的访问权。直到本周,特朗普的这家公司才发现被渗透的事实。
2013年,黑客获取了特朗普集团域名注册账户,创建了被网络安全专家称为“影子”子域名的250多个网站子域名。每个影子特朗普子域名都指向一个俄罗斯IP地址,这意味着这些子域名都托管在俄罗斯网络资源上。(注:每个网站域名都与1个或多个IP地址相关联。这些地址供互联网找到托管着网站的服务器。真正的特朗普集团域名,应指向美国或该公司设有分部的国家境内的IP地址。)该公司域名的公开记录中,甚至都可看到这些影子子域名。
这些子域名及其关联IP地址,不止一次出现在著名研究数据库列出的潜在恶意软件活动中。这些影子子域名中,绝大部分直到本周都还活跃,说明特朗普集团根本没有采取任何措施。也表明了该公司在过去4年里压根儿没意识到自己被黑了。网络安全专家认为,如果注意到该渗透事件,特朗普集团肯定会立即停用这些影子子域名。
2周前,一名不愿透露身份的计算机安全专家联系了媒体,提供了特朗普集团影子子域名列表。他给出了自己对此事的理解。某黑客,或黑客组织,获取到了特朗普集团GoDaddy域名注册账户权限。与其他公司企业一样,特朗普集团也注册了一系列域名,其中很多都从未使用过。比如:BarronTrump.com、DonaldTrump.org、ChicagoTrumpTower.com、CelebrityPokerDealer.com和DonaldTrumpPyramidScheme.com。这些影子子域名的存在,说明特朗普的商业网络中存在安全漏洞,为未知人士开辟了利用可能性——使用这些特朗普集团子域名以发起攻击,诱骗世界各地的计算机用户交出敏感信息,让攻击者秘密访问他们的计算机和网络。
事实上,与虚假子域名相关联的IP地址,链向了某个托管着至少1个恶意网站的IP地址。这些恶意网站曾被黑客用于部署漏洞利用工具包,使攻击者可获取计算机用户的口令和登录凭证,或者拿下另一台计算机并窃取其中文件。
任何基本的安全审计都会揭露出这些子域名的存在,暴露出它们链向的服务器。取决于流经这些服务器的数据流量,往好了说,这是工作疏忽;往坏了说,这就是刑事过失。
上百个特朗普域名中的每一个,入侵者都创建了2个影子子域名,这些影子子域名基本上遵循一种模式:在真实域名前加上3-7个随机字母。
比如:bfdh.BarronTrump.com和dhfb.BarronTrump.com;bfch.DonaldTrump.org和bxdc.DonaldTrump.org;cesf.ChicagoTrumpTower.com和vsrv.ChicagoTrumpTower.com;dxgrg.CelebrityPokerDealer.com和vsrfg.CelebrityPokerDealer.com;bdth.DonaldTrumpPyramidscheme.com和drhg.DonaldTrumpPyramidScheme.com。
这些影子子域名的可用历史数据表明,其中大多数都是在2013年8月时创建的。影子子域名刚被创建时,链向俄罗斯圣彼得堡某网络17个IP地址中的一个,托管在名为“彼得堡互联网网络”的公司旗下服务器上。(注:该公司是一家服务器提供商,以托管恶意服务器闻名。)
2015年1月一篇关于虚假IP路由和恶意软件的博客文章中,Dyn公司互联网分析总监道格·马多里,将“彼得堡互联网网络”比作网络暴徒聚居地。目前,这些影子子域名的IP地址,注册到了俄罗斯的另一家公司名下。多名网络安全专家称,IP地址归属俄罗斯,未必意味着特朗普集团入侵事件就源于俄罗斯。
特朗普集团影子子域名指向的IP地址范围是:46.161.27.184~46.161.27.200。这些地址是某个更大网络的一部分。2013年10月,一位安全研究员发现BewareCommaDelimited.org网站部署了漏洞利用工具包,意图盗取目标计算机的口令和其他信息,并指出该网站关联的IP为46.161.27.176。这个IP地址就与特朗普集团影子子域名的IP地址同处一个网络——表明这些子域名很可能隶属用于部署恶意软件的网络。
本周,名为肖恩·艾博的研究员发布了一篇博客文章,强调了影子子域名的存在,并在数周前就已在某推特中被引用过。艾博写道:“注册到特朗普集团名下的250多个子域名,会将流量重定向到位于俄罗斯圣彼得堡的计算机。”
另一位计算机安全专家指出,该子域名网络可能是某犯罪集团建立的,目的是将特朗普集团的计算机系统,用作对其他实体发起各种网络攻击的平台。不过,他补充道,意图渗透特朗普集团的国家或非国家黑客,也有可能利用该漏洞。“至少,这显露出了特朗普集团的糟糕运营。”
艾博的博客文章中写道:“这么大的企业,再加上总统大选牵涉的安全考虑和审查,其IT部门没有任何理由不发现这一安全缺失。任何基本的安全审计都会揭露出这些子域名的存在,暴露出它们链向的服务器。取决于流经这些服务器的数据流量,往好了说,这是工作疏忽;往坏了说,这就是刑事过失。”
特朗普集团所有合法域名,还有可疑子域名,均是通过GoDaddy注册的。影子子域名的创建表明,黑客入侵了该公司GoDaddy账户,而基于该账户被渗透的方式,入侵者还有可能获取到了特朗普集团网络中其他计算机的访问权。
Raw Hex,一家微电子及计算机编程培训初创企业,其网络安全专家史蒂夫·罗德称,特朗普集团影子子域名的创建,就是影子域名的经典案例。特朗普集团影子子域名,符合2011年让GoDaddy客户受到重击的重大影子域名事件模式——GoDaddy是全球大型域名注册机构之一。
2015年3月,思科Talos安全情报与研究小组威胁研究员尼克·比亚西尼,在博客文章中描述了影子域名机制:
这些账户通常都是通过网络钓鱼被入侵的。黑客以凭证登录账户,然后创建大量子域名。因为很多用户都有多个域名,这种方法可提供几乎无限的域名供应。该方法可有效规避掉常规检测技术,比如对网站或IP地址应用的黑名单技术。
文章中,比亚西尼指出,影子域名的方法可追溯至2011年,而且正如技术领域里其他所有事情一样,随着时间流逝而愈趋复杂。
网络人员发现可疑恶意软件进入自家网络或在外部网络兴风作浪时,他们通常会将此信息共享给公开恶意软件数据库,以便广大信息安全社区及时注意并分析该潜在恶意软件。特朗普集团相关子域名中,有很多都被IT人员和安全研究员标记为可疑恶意软件载体,并被上传到了恶意软件研究数据库VirusTotal。
分析疑似恶意软件相关URL的网络安全公司,会将自己的发现交给VirusTotal列出。根据VirusTotal列表,俄罗斯杀毒软件公司卡巴斯基,检测到了特朗普相关子域名中,有很多都与恶意软件相关联。尽管近段时间卡巴斯基被怀疑与俄罗斯政府有染,盗取美国政府计算机的数据,很多安全研究人员仍然认为,该公司在识别俄罗斯恶意软件上技高一筹。
卡巴斯基发现了该恶意软件而其他安全公司没有,就很说明问题了。这几乎可以作为该恶意软件复杂性的一个衡量标准。
给出影子子域名列表的网络安全研究员称,他找不到这些子域名的任何合法使用。他说,攻击者对特朗普集团域名的完整入侵范围尚不明朗,但从该IP地址范围发起攻击的黑客,具备发动高度复杂的网络袭击的能力。
“我不得不认为特朗普集团网络中的文件及邮件服务器,可能是用于对美国总统下手的全球最大型信息仓库。”同时,他还指出,该事件反映出特朗普集团的IT安全没有做到位:“问题关键在于:他们压根儿没发现。”
对于媒体的评论请求,特朗普集团发出了如下声明:
特朗普集团没有被黑,所涉域名均未托管任何活跃网站,也没有任何内容。发布任何与此相悖言论的行为是极端不负责任的。另外,我们与所提及的“影子域名”没有任何联系,并正与我们的第三方域名注册商调查你们的问询。这些域名上没有检测到任何恶意软件,我们的安全团队严肃对待所有威胁。
向媒体揭露了这批子域名的安全专家证实,这些影子子域名确实“当前没有托管任何活跃网站,也没有理由认为目前还有什么恶意软件在这些域名上活跃。但是,因为有人创建了这几百个域名记录,特朗普集团的注册机构账户应该是被黑了;且如果注册人不是特朗普集团的人,那就只能是未授权人士了。
看到特朗普集团的声明后,网络安全专家罗德回复道:
有2种可能情况。要么他们把自己的域名记录指向了托管在俄罗斯圣彼得堡的服务器,要么另有其人干了这事儿。无论哪种情况,问题是:为什么要这么做?对于一家被疑与俄罗斯有染而面临多起调查的公司,我希望他们在全盘否认之前,先想想有没有可能是自家域名被劫持了。
特朗普集团并未回复后续问题,且影子子域名见报之后,相关记录就开始消失了。
特朗普集团影子子域名列表:
