美国几家支付公司成为BGP攻击的首选目标

  • A+
所属分类:网络安全新闻

Oracle上周报道,美国的几家支付处理公司最近成为目标是将用户重定向到恶意网站的BGP劫持攻击的目标。

美国几家支付公司成为BGP攻击的首选目标

边界网关协议(BGP)控制Web上的数据路由。BGP劫持(也称为前缀或路由劫持)是通过破坏存储网络路径的路由表来接管IP地址组来执行的。

在过去的几个月中,甲骨文在2016年收购Dyn后获得了对网络流量的深入了解,已经观察到几个恶意行为者试图通过针对BGP劫持攻击中的权威DNS服务器强迫用户访问他们的网站。

攻击者使用流氓DNS服务器向试图访问某个网站的用户返回伪造的DNS响应。他们使用这些伪造响应中的长生存时间(TTL)值最大化了攻击持续时间,以便DNS服务器可以在其缓存中保留虚假DNS条目一段时间。

“[]肇事者表现出对细节的关注,将伪造反应的TTL设定为~5天。目标域的正常TTL为10分钟(600秒)。通过配置一个非常长的TTL,伪造的记录可以在BGP劫持停止很久之后在D​​NS缓存层中持续存在,“ Oracle互联网智能团队互联网分析主管Doug Madory 解释道。

甲骨文在7月6日发现了第一次BGP劫持企图,当时一家印度尼西亚ISP公布了与Vantiv相关的一些前缀,这是一家由美国支付处理公司Worldpay拥有的品牌。

马来西亚ISP也于7月10日公布了相同的前缀。与此同时,有人劫持了与Datawire相关的域名,这些域名被描述为“通过公共互联网安全可靠地将金融交易传输到支付处理系统的连接服务”。

7月11日,有人开始劫持与Mercury支付系统相关的前缀,后者也属于Worldpay。之前有针对性的前缀于7月12日再次被劫持。

甲骨文报道,虽然最初的BGP攻击没有产生重大影响,但涉及Vantiv域名的最后一次劫持持续了将近三个小时。

该公司在4月份发现了类似的攻击,当时网络犯罪分子试图对亚马逊的权威DNS服务进行BGP劫持,以便将加密货币钱包的用户重定向到设置为窃取其资金的虚假网站。有证据表明,最近的袭击事件与4月份的袭击有关。

  • CE安全网微信群
  • weinxin
  • CE安全网QQ群
  • weinxin
CE安全网

网络安全宣传推广

发表评论

您必须登录才能发表评论!