海龟行动：劫持 DNS 对政府实施间谍活动的国家支持攻击

大多数网络攻击试图从外部渗入目标。而"海龟"行动所做的事情更为隐蔽，也危险得多：它入侵的是告诉整个互联网目标所在位置的那张地图。

当你输入某个政府部委的网址，或向其官员发送电子邮件时，你的计算机首先要向域名系统（DNS）查询，将这个人类可读的名称转换成对应服务器的数字地址。这一查询步骤是如此基础，以至于互联网上几乎没有任何机制去验证它。我们只是简单地信任：这个名称会解析到它应该指向的地方。海龟行动的操作者深刻理解这种信任，并花费了两年多的时间利用这种信任，对中东和北非各国政府实施间谍活动。

2019 年 4 月，Cisco Talos 披露了"海龟"行动。这是我们所见过的最清晰的案例之一，展示了 DNS 本身如何被作为国家级间谍活动的工具而武器化。攻击者并非对个别员工实施网络钓鱼然后碰运气，而是将矛头对准了位于目标上方的注册商、注册局和 DNS 服务商——那些控制着名称如何解析的机构——并以此为据点，重定向整个组织的流量、窃取凭据，并伪造了本应让身份冒充无从遁形的密码学证书。

作为国家级间谍攻击目标的 DNS

DNS 有时被称为互联网的电话簿，但这个比喻低估了它的重要性。它更像是邮政路由系统：每封电子邮件、每次登录、每个 API 调用都始于名称解析。如果你控制了解析，你就控制了目的地——你可以无形地坐在双方都以为私密直连的对话中间。

这使 DNS 几乎成为完美的间谍攻击目标。入侵一个 DNS 服务商，便可以暴露依赖它的每个组织的流量。与终端设备上的恶意软件不同，DNS 操控不会碰触受害者自己的机器：没有什么可以扫描，没有什么可以隔离。记录就这样悄然指向了新的地方。

Talos 直白地描述了这一机制。他们的报告指出，DNS 劫持发生在攻击者能够非法修改 DNS 名称记录，将用户引导至攻击者控制的服务器时。描述简单，实际破坏力却极具毁灭性。

海龟行动（2017–2019）

海龟行动并非一次打砸抢式的攻击。Talos 评估认为，该持续行动很可能早在 2017 年 1 月就已开始，并持续至 2019 年第一季度——超过两年的耐心、持续行动。

在这段时间里，据 Talos 统计，此次行动共入侵了 13 个不同国家的至少 40 个不同组织。TechCrunch 总结了其影响范围：该组织在超过两年时间里将 13 个国家的 40 个政府和情报机构、电信公司及互联网巨头列为攻击目标，受害者分布在亚美尼亚、埃及、土耳其、瑞典、约旦和阿联酋等国。

Talos 未公开将此次行动归因于某一特定政府，但对攻击者的能力水平表示有把握。Cisco Talos 的 Craig Williams 向 TechCrunch 表示，这是一个以前所未见的相对独特方式运作的新组织，使用了新的战术、技术和程序，团队评估该组织的主要动机是实施间谍活动。

攻击对象及其风险

受害者名单读起来像一份情报收集清单。Talos 确认主要目标为国家安全机构、外交部以及重要能源组织——正是那些敌对国家最想窃听其内部通信的机构。

第二层受害者在某种意义上更能说明问题。Talos 发现，攻击者还入侵了众多 DNS 注册商、电信公司和互联网服务提供商。这些并非最终目标，而是手段。通过掌控基础设施提供商，攻击者获得了操控下游真实目标 DNS 的杠杆。

BleepingComputer 的摘要清晰地呈现了最终目的：主要目标是外交部、军事组织、情报机构、能源公司。当你能够无声地拦截外交部的电子邮件和登录流量时，根本无需破解加密——只需收获凭据，在邮件流过时直接阅读即可。

攻击手法：劫持信任链

海龟行动之所以异常复杂，正在于攻击者很少直接攻击受害者，而是沿着信任链向上攀爬。

Talos 重建并经独立报道证实的攻击模式大致如下：首先，通过鱼叉式网络钓鱼或利用已知漏洞，在 DNS 服务商、注册商或注册局取得立足点。有了访问权限后，修改 DNS 记录，将目标的合法用户重定向至攻击者控制的服务器。这些服务器被设置为中间人层：据 BleepingComputer 报道，海龟行动的操作者构建了一套中间人（MitM）框架，冒充受害者使用的合法服务，目的是窃取登录凭据。受害者登录的是看起来正常的邮件或 VPN 门户，而攻击者则会在用户与这些攻击者控制的服务器交互时捕获合法用户凭据，然后悄悄转发至真实服务，让一切看起来正常无异。

最聪明、也最令人警惕的环节在于他们如何绕过了"小绿锁"。重定向流量是一回事；在不触发浏览器证书警告的情况下做到这一点又是另一回事。海龟行动通过为所冒充的域名获取真实有效的证书来解决这一问题。Talos 发现攻击者从其他服务商获取了针对同一域名的由证书颁发机构签名的 X.509 证书，并指出这些攻击者在其 MitM 服务器上使用了 Let's Encrypt、Comodo、Sectigo 及自签名证书。由于他们控制了 DNS 记录，便能通过免费证书颁发机构所依赖的自动域名验证检查——并最终为一个他们并不拥有的域名拿到合法的绿色小锁。

Brian Krebs 在记录密切相关的早期攻击浪潮时描述了同样的手法：攻击者似乎修改了这些域名的 DNS 记录，使其指向他们控制的欧洲服务器，并随后成功从 SSL 服务商 Comodo 和/或 Let's Encrypt 为这些域名获得了 SSL 证书。被引用的受害者之一是mail.gov.ae，负责处理阿联酋政府机构的电子邮件。

注册局入侵

此次行动的最高峰是入侵了那些不仅使用 DNS，而且为整个国家运营 DNS 的组织。

第一个公开确认的案例涉及瑞典的 Netnod。据 Krebs 报道，攻击者获取了 Netnod 域名注册商账户的访问权限，Netnod 自身也声明于 1 月 2 日得知其在攻击中扮演的角色。关键在于，Netnod 并非最终目的地——它是一扇门。BleepingComputer 指出，Netnod 表示他们并非攻击目标，而是攻击者"获取互联网服务登录信息"的通道。

Talos 用严峻的措辞描述了这一事件更广泛的意义：这些操作者负责实施了第一个公开确认的针对管理根服务器区域的组织的攻击案例。当运营互联网核心地址簿一部分的机构都可以被悄然冒充时，DNS 默认可信的假设便不再成立。

应对与后续：他们并未停手

如此大规模的 DNS 劫持引发了官方回应。2019 年 1 月，美国网络安全和基础设施安全局（CISA）发布了紧急指令 19-01《缓解 DNS 基础设施篡改》——这是 CISA 有史以来发布的第一份紧急指令——命令联邦机构审计其 DNS 记录、更改 DNS 管理账户的凭据，并为这些账户启用多因素认证。这在某种程度上承认了 DNS 管理已成为国家安全的前线阵地。

然而，海龟行动最令人震惊之处，是曝光之后发生的事情。大多数行动一旦被 Talos 等供应商公开其技战术便会偃旗息鼓。海龟行动却恰恰相反。

2019 年 7 月的后续报告中，Talos 披露该组织又发现了新的受害者，包括一个国家代码顶级域名（ccTLD）注册局，该机构管理着使用该特定国家代码的每一个域名的 DNS 记录。具体而言，希腊计算机科学研究所暨技术与研究基金会（ICS-Forth），即希腊的 ccTLD——运营 .gr 命名空间的机构——遭到入侵。SecurityWeek 注意到，即使在 ICS-Forth 公开承认泄露之后，Cisco 的遥测数据证实该入侵又持续了至少五天。

Talos 对该组织的评估异常直率：该组织似乎格外大胆，未来不太可能受到威慑而罢手。他们是对的。海龟行动并非一次性事件，它证明了 DNS 层面的间谍攻击切实可行，而实施者愿意在公开曝光后继续行动。

这对 DNS 作为关键基础设施的启示

剥去地缘政治的外壳，海龟行动留下的是一组关于互联网命名层真实运作方式的令人不安的教训。

1. DNS 是一条信任链，而你并不控制其全部。 你自己的安全可能无懈可击。但你域名的解析要经过注册商和注册局，若其中任一被入侵，你的记录就可能在完全不触及你的网络的情况下被篡改。海龟行动证明，攻击者会刻意瞄准信任链中你能见度最低的那个环节。

2. 有效证书并不能证明目的地合法。 绿色小锁证明连接已加密至当前控制该域名的任何人——如果攻击者已劫持 DNS，那就是他们。域名验证型证书的可信度，仅取决于其验证所依赖的 DNS 的可信度。

3. DNS 操控对受害者几乎是不可见的。 受害者的机器上没有运行任何恶意软件，终端扫描器什么也看不到。唯一的信号是记录指向了不该指向的地方——这正是为什么监控 DNS 记录的意外变化、并对其加以锁定如此重要。

4. 注册商和注册局账户安全是国家安全基础设施。 CISA 有史以来第一份紧急指令，从根本上说是关于 DNS 管理账户的凭据安全。多因素认证、注册局锁定以及严格管控能够修改 DNS 记录的账户的访问权限，并非可有可无的安全卫生举措——它们是真正拥有一个域名与仅仅表面上拥有之间的分水岭。

Namefi 的视角

海龟行动从根本上说是一个关于谁被允许更改域名记录的故事——以及外界有多难察觉这种权限已被悄然窃取。

传统模式将这一权限集中于注册商和注册局账户，而这些账户往往仅靠一个密码和一个电子邮件地址来保护。当这些账户沦陷，域名的控制权也随之悄然易手。没有内置的、可独立核实的记录来证明谁是某个名称的合法持有者，控制权易手时也没有防篡改的痕迹。

Namefi 将域名所有权视为一种应当在设计上可验证且防篡改、同时与 DNS 保持兼容的东西。通过代币化所有权，为谁控制某个域名创建了一份可审计、以密码学为锚点的记录——使未经授权的转移和无声接管在不留下明显痕迹的情况下难以得逞。这本身并不能阻止注册局遭受钓鱼攻击。但海龟行动强调的更广泛教训，正是 Namefi 的立足之本：域名是关键基础设施，而谁真正拥有这个名称这一问题，理应得到比"能登录控制面板的人"更有力的回答。

此次攻击行动通过利用持有域名与证明持有域名之间的落差来重定向各国政府的流量。弥合这一落差——让所有权可验证、转移可审计、控制连续性可证明——正是命名层至今仍需的那种韧性。

来源及延伸阅读

• Cisco Talos — DNS Hijacking Abuses Trust In Core Internet Service
• Cisco Talos — Sea Turtle keeps on swimming, finds new victims, DNS hijacking techniques
• TechCrunch — A new state-backed hacker group is hijacking government domains at a phenomenal pace
• Krebs on Security — A Deep Dive on the Recent Widespread DNS Hijacking Attacks
• BleepingComputer — 'Sea Turtle' Campaign Focuses on DNS Hijacking to Compromise Targets
• SecurityWeek — Sea Turtle's DNS Hijacking Continues Despite Exposure
• BankInfoSecurity — 'Sea Turtle' DNS Hijacking Group Conducts Espionage: Report
• CISA — Emergency Directive 19-01: Mitigate DNS Infrastructure Tampering
• SDxCentral — Cisco Talos Says a Nation State Is Behind Sea Turtle DNS Hijacking Attacks
• SecurityWeek — State-Sponsored Hackers Use Sophisticated DNS Hijacking in Ongoing Attacks