來自伊朗的APT34(Advanced Persistent Threat,進階持續性威脅)駭客組織,正利用最新的DNS over HTTPS(DoH)技術,規避既有資安設備的監控。
根據ZDnet報導,在網路安全公司Kaspersky(卡巴斯基)所舉辦的研討會上,資安專家Vicente Diaz介紹了這個在網路犯罪活動上的重大技術革新。來自伊朗的駭客組織Oilrig,開始利用DoH技術來從事駭客活動的資料傳輸,該組織利用一種名為DNSExfiltrator的工具,將資料偽裝成DNS查詢封包,並以HTTPS協議在網際網路上傳輸。使用這項至2018年才發布的新技術,許多市面上的網路安全產品皆難以偵測其活動,讓受駭者難以發現,藉此規避資安威脅偵測與監控。
DNS over HTTPS(DoH)技術在2018年由IETF(Internet Engineering Task Force,網際網路工程任務組)推出,透過HTTPS協定,建立使用者端到DNS(Domain Name Service,網域名稱系統)伺服器的點到點加密連線,藉此取代傳統上經由port 53的DNS請求,提升網路傳輸的安全性。
然而,這已經不是該威脅組織第一次利用DNS技術來從事駭客活動,自2018年底,Oilrig便已開始利用被稱為DNSpionage的客製化工具來從事駭客活動,並向數個COVID-19有關的網域傳輸資料,因此令人聯想到近期氾濫的COVID-19相關駭客活動與網路釣魚。
根據美國資安公司FireEye的資料,來自伊朗的駭客組織APT34(又稱Oilrig),主要活動範圍在中東地區,針對政府、能源和金融組織進行攻擊,因此被認為與伊朗政府有所關聯。