【四维创智】-专研智能,智汇安全-网络攻防-渗透测试-web安全-无线安全-内网安全 有黑客正在通过骨干网络发动中间人攻击 国内多个省市区均受攻击影响 – 【四维创智】

有黑客正在通过骨干网络发动中间人攻击 国内多个省市区均受攻击影响

3月 27,2020by admin

3月26日晚间,据蓝点网网友反馈,有攻击者正在大规模的发起中间人攻击劫持京东和 GitHub 等网站。

 
所有的 github pages 页面开启 HTTPS 的证书都变成下面这个了?什么情况?

 

 

 

 

 
此次攻击似乎通过骨干网络进行劫持 443端口,目前经测试 DNS 系统解析是完全正常的。目前受影响的主要是部分地区用户但涉及所有运营商。例如中国移动、中国联通、中国电信以及教育网均可复现劫持问题,而国外网络访问这些站点并未出现异常情况。

 
由于攻击者使用的自签名证书不被所有操作系统以及浏览器信任,因此用户访问这些网站时可能会出现安全警告。从目前攻击情况来看此次发起攻击的黑客很可能是初学者,而攻击目的很有可能只是在测试但没想到规模如此大。

 

 
大量用户无法正常访问京东和GitHub:

 
从目前网上查询的信息可以看到此次攻击涉及最广的是 GitHub.io,其次用户访问京东等国内知名网站亦会报错。

 
查看证书信息可以发现这些网站的证书被攻击者使用的自签名证书代替,导致浏览器无法信任从而阻止用户访问。

 
自签名证书显示证书的制作者QQ昵称为心即山灵 (346608453),这位心即山灵看起来就是此次攻击的始作俑者。

 
所幸目前全网绝大多数网站都已经开启加密技术对抗劫持,因此用户访问会被阻止而不会被引导到钓鱼网站上去。

 
如果网站没有采用加密安全链接的话可能会跳转到攻击者制作的钓鱼网站,若输入账号密码则可能会被直接盗取。

 
注 1:此QQ号从此前某数据库里可检索出使用者为某校高中生,不过尚不清楚黑客的身份。

 

346608453@qq.com

 
攻击者可能是初学者正在进行测试:

 
从攻击者自签名证书留下的这个扣扣号可以在网上搜寻到部分信息,信息显示此前这名攻击者正在学习加密技术。

 
这名攻击者还曾在技术交流网站求助他人发送相关源代码,从已知信息判断攻击者可能是在学习后尝试发起攻击。

 
但估计他也没想到这次攻击能涉及全国多个省市自治区的网络访问,而且此次攻击已经持续四个小时还没有恢复。

 
另外从这名攻击者如此高调行事的风格来看也极有可能是初学者,毕竟此前尝试大规模劫持的还在牢里没出来呢。

 

被劫持的京东(图片来自unixeno)

 
关于QQ号主/攻击者的身份追踪信息:

 
注2:检索发现此QQ号主 1992年从某高中毕业,现为某公司职员,据官网介绍,该公司并没有流量相关业务。

 
注3:据大佬们讨论,此次攻击似乎是从骨干网络发起七层精准劫持,能做到这种攻击的黑客看起来也不想初学者。

 
346608453@qq.com这次是大出名!

 
另外,最近几天使用Github注意被劫持的风险。

 
参考文章链接:

(动态更新中) 有黑客正在通过国内骨干网络发动大规模的中间人攻击

https://v2ex.com/t/656367