前情回顾·国际内容安全威胁态势
安全内参7月8日消息,美国陆军的多个互联网子域名在一起404劫持攻击中遭到网页篡改。
本周一上午,美国陆军有两个网站(oil.army.mil和ai2c.army.mil)的错误页面向用户显示了篡改内容。这些内容贬低总统特朗普和和美国驻土耳其大使汤姆·巴拉克,呼吁“解放库尔德斯坦”,并显示留言:“Kurdish sr 到此一游”。
其中,oil.army.mil隶属于美国陆军开放创新实验室。该实验室成立于2020年,是一个软件和网络能力测试平台。另一个网站则属于人工智能集成中心,该中心成立于2019年,旨在将AI技术整合到陆军中,并培训相关人员掌握新兴技术。

图:oil.army.mil的404错误页面截图,页面被篡改,包含支持库尔德斯坦的评论以及辱骂特朗普和白宫顾问汤姆·巴拉克的内容

图:ai2c.army.mil的404错误页面截图,页面被篡改,包含辱骂特朗普和白宫顾问汤姆·巴拉克的内容,并以“Kurdish sr”署名
攻击路径尚不明确,
目前发现多个子域名均受影响
独立网络安全研究员Ronald Lovelace第一个发现了这些网页遭到篡改,他随后通知了美国陆军官员和CyberScoop。
404劫持利用的是网站的错误处理系统,通常通过攻陷插件、内容管理系统或服务器配置,来控制页面不存在时显示的内容,而并非直接入侵网站的核心页面。这样一来,恶意攻击者就能插入篡改信息、恶意重定向或其他未经授权的内容,而访问者只有在遇到错误页面时才会看到。有时,由于网站其余部分看起来一切正常,这类入侵反而更难被察觉。
Lovelace表示,受影响的网站运行在WordPress和微软云基础设施上。目前尚不清楚这些子域名被入侵了多长时间,也不清楚是否还有其他子域名受到影响。
Lovelace说:“这大大提升了事件的严重程度,因为它表明问题不是某一条路径被篡改那么简单,而是入侵程度更深。”
尽管多个子域名都出现网页篡改,表明此次事件可能具有“广泛影响”,但似乎并未波及所有美国陆军网站。目前,许多网站仍显示正常的404错误页面。
同样悬而未决的还有:攻击者是如何获得修改这些网站错误页面的权限的;这次入侵究竟是源于内部、内部漏洞,还是第三方平台被攻破;以及攻击的影响是否超出了有限的网页篡改范围。
官方已应急处置,
攻击者身份目前未知
相关网站目前已被下线。一位陆军发言人告诉CyberScoop,这些页面托管在一个遗留的第三方平台上,与美国陆军企业网络没有连接,现已被移除。
该发言人表示,美国陆军网络调查人员仍在持续开展事件响应工作,目前判断该第三方平台将被修补还是停用,还为时过早。
美国陆军发言人肖恩·明顿少校在一份声明中说:“我们已注意到,托管在一个遗留、非权威平台上的oil.army.mil和ai2c.army.mil错误页面遭到了未经授权的篡改。技术团队迅速采取行动缓解了这一问题,受影响页面现已得到保护。美国陆军严肃对待所有网络安全事件,并正在积极调查此事,以维护我们严格的网络防御与网络安全标准。”
目前,此次网页篡改的幕后实施者尚不清楚,除了部分涉及库尔德斯坦的内容外,几乎没有更多线索。库尔德斯坦是一个横跨土耳其、伊拉克、伊朗和叙利亚部分区域的地理概念,拥有超过3000万库尔德人。数十年来,库尔德分离主义运动一直致力于建立一个独立国家,而篡改政府网站也长期是库尔德黑客行动主义者常用的手段。
今年早些时候,特朗普和巴拉克因似乎支持叙利亚政府发起军事行动、重新恢复联邦政府对库尔德人聚居区的控制,而引发了支持库尔德事业人士的不满。
这并非美国陆军网站首次疑似遭外国黑客入侵。2015年,叙利亚电子军黑客篡改了美国陆军主页和美国国防部美国战略司令部官网等多个重要网站,陆军官员被迫将这些网站临时下线。
参考资料:https://cyberscoop.com/us-army-websites-defaced-404-hijacking-kurdistan/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。