BGP挾持攻擊再現，這次鎖定美國支付業者

甲骨文（Oracle）上周揭露另一起BGP挾持攻擊，指出駭客先入侵了位於印尼及馬來西亞的兩家ISP業者，散布錯誤的路由資訊，以將美國三大支付業者Datawire、Vantiv與Mercury Payment Systems的流量導至駭客所控制的伺服器，手法類似今年4月的攻擊行動。

Border Gateway Protocol（BGP，邊界閘道協定）是藉由IP路由表或前綴（Prefix）來實現自治系統（AS）之間的可達性，大多數ISP業者必須利用BGP與其它ISP建立路由連線。BGP挾持（BGP hijacking）即是先駭進ISP業者或其它網路架構供應商的BGP伺服器，再散布錯誤的路由來干預流量。

甲骨文Dyn網路分析總監Doug Madory說明，駭客集團在今年7月間藉由入侵印尼Digital Wireless與馬來西亞Extreme Broadband兩大ISP業者以竄改Datawire、Vantiv及Mercury Payment Systems的路由，讓假冒的DNS伺服器能夠傳遞偽造的回應，把原本要造訪這三大支付業者的使用者導至惡意網站。

此外，駭客還在偽造的回應中採用更長的存活期（TTL），讓這些假冒的DNS可在遞迴DNS伺服器中保留到BGP挾持結束為止，以最大化攻擊時間。一般網域的TTL為10分鐘，但在今年7月的攻擊中，駭客把偽造回應的存活期最高設為5天。

駭客的目的是為了竊取支付卡業者的客戶資訊，在展開攻擊的這幾天，使用者經常抱怨無法連上官網。

Madory表示，這些事件展現出網路基礎架構已成為駭客的攻擊目標，未來也很可能看到愈來愈多的相關攻擊，現今唯一的希望就是網路產業應合作以發揮優勢。他引用NTT Communications工程師Job Snijders的看法指出，假如主要的DNS服務供應商以RPKI來簽署路由，並以EBGP來驗證路由，就能減少攻擊事件，而且只有少數提供密集連結的組織需要部署基於RPKI的BGP來源驗證，即可造福數十億的網路用戶。