全球DNS劫持活动延伸至联邦域名？

为期两年监视美国政府互联网流量的运动似乎促使美国国土安全部在1月份发布了第一份紧急指令，该指令给予代理商10天时间，以实施全球劫持域名服务器的保护措施。一位顶级国土安全部网络安全官员说，最初的查已经确定，目前没有证据表明联邦域名的任何DNS记录被改变或操纵。

根据一位参加国土安全部关于利用和美国反应的简报的希尔职员，这项行动似乎是“直接的间谍活动，读取交通方式”。

网络安全和基础设施安全局网络安全助理主任Jeanette Manfra在接受采访时说：“这种特定威胁促使我们发布指令，我们认为这对政府没有产生重大影响。”“无论我们是否有特定的威胁，都需要采取这些行动来保护我们的DNS基础设施。”

当时，CISA主任克里斯克雷布斯的推文表明DHS“意识到受篡改活动影响的一些机构”引起了一些联邦域名可能被劫持的担忧。

虽然审查仍在进行中，但继续通过历史数据了解过去篡改的迹象“截至目前我们认为我们没事。”Manfra说。

这并不意味着代理商不会受到影响。两周前国土安全部向国会介绍了这项活动，并表示已经发现有证据表明，一些出境互联网流量可能已经通过联邦网络外围的中间人攻击者建立的代理服务器。目前尚不清楚，因为有些域名被劫持的时间非常短，只有几分钟，而且不知道政府流量是否在被破坏的同时通过域名。

国土安全部没有具体说明截获的流量是基于网络的还是基于电子邮件，亦或是两者兼而有之。如果是网络流量，它可能使攻击者能够将政府员工重定向到虚假网站，以促进网络钓鱼或凭证窃取。如果是电子邮件流量，它可能允许攻击者将任何美国政府电子邮件解密到受感染的外部域，读取或注入恶意软件，然后在将它们发送到正确的服务器之前对其进行重新加密，所有这些都不需要用户知道。

FireEye、思科Talos  等威胁情报公司表示，目前劫持活动遍布全球，并针对政府、电信公司和互联网基础设施实体控制的数十个域名。

即使联邦领域没有受到损害，Manfra表示，在全球劫持活动和部分政府关闭过程中，他们可能容易遭受此类攻击，因此需要采取紧急应对措施。

代理商被赋予10天期限，以完成四项任务：验证内部DNS记录，更新DNS帐户密码，向帐户添加多因素身份验证以及监控任何可疑活动的证书透明度日志。

根据Manfra的说法，各机构已完成对其DNS记录的验证，但仍有一些人没有遵守其他三项记录的最后期限。

“我们最关心的第一件事就是你的域名遭到了劫持？” Manfra说，“一旦我们解决了这个问题，其他一些事情例如多因素身份验证可能会遇到挑战，这可能是供应商问题，所以我们正在努力解决这个问题。“

来源：https://fcw.com/articles/2019/02/15/dns-hijack-dhs-response.aspx