跳至主內容

恒泰暴力破解攻擊的終結

發佈日期: 2015年04月29日 2397 觀看次數

攻擊激增

自 2014 年 11 月,HKCERT 注意到來自一間聲稱位於香港的「恒泰信息有限公司」的網絡(AS 網絡號碼 63854)攻擊突然增加,這個網絡裏最少有 50 個 IP 地址有份參與攻擊,而其攻擊模式有別於一般被入侵的網絡,通常只有數個 IP 地址被用作攻擊。協調中心懷疑有攻擊者控制該網絡在互聯網進行攻擊。

 

恒泰引起國際關注

這種異常進取的攻擊使事故報告數字上升。HKCERT 曾通知「恒泰信息有限公司」處理相關事故,但沒有接到回應。至 11 月底,此網絡已引來國際保安專家注意。協調中心共接獲至少 5 個國家的報告,指出來自此網絡的異常高頻攻擊(根據資料其中一 IP 地址曾作 460,000 次的暴力破解登入嘗試)肆意攻擊全球網絡。網絡保安公司 FireEye 隨後發出一份針對恒泰的調查報告:Anatomy of a Brute Force Campaign: The Story of Hee Thai Limited

 

向 APNIC 求助

從此攻擊的頻率及廣度,及有關公司不合作態度,我們決定循另一途徑阻止攻擊。其實當透過 WHOIS 資料進行調查時,發現登記地址並不完整,我們懷疑這間公司並非真實在香港營運。由於不能聯絡到該公司,我們向負責分派 AS 號碼和 IP 地址及管理 WHOIS 資料庫的亞太互聯網訊息中心(APNIC)求助 1。我們指出該網絡登記資料並不合理:地區為 CN,登記地址在 HK,電碼號碼在柬埔寨(圖 1)。

 

圖 1

 

於 2015 年 3 月底,APNIC 取回 AS63854 的網絡,表示該網絡已從網絡分配記錄中移除,其他網絡供應商亦不會提供路徑連接予這個網絡(圖 2)。自此,這網絡在互聯網上消失,我們亦再沒有收到關於這個網絡的事故報告。

 

圖 2

 

濫用互聯網資源

近年一些服務供應商透過聲稱位於香港取得新的 AS 號碼,但填報的其實是「流動辦公室」地址或甚至如恒泰的不完整地址。雖然這些公司提供電郵地址及電話號碼(通常並非香港號碼),但當事故發生時,HKCERT 及執法部門並不容易聯絡他們,令迅速解決事故或阻止事故蔓延更加困難。HKCERT 致力於維護網絡保安及香港於互聯網世界的聲譽。這是協調中心首次把有關網絡攻擊個案處理,提到 APNIC 去。協調中心會繼續與 APNIC 合作,確保在香港可順利進行事故處理工作。

 

註解

  1. https://www.apnic.net/