|
Erstmals DNS-Einträge bei Registraren manipuliert – Besucher von Websites staatlicher
Organisationen umgeleitet – Nutzer können den Betrug nur schwer erkennen
Wien (skills) - Cisco Talos hat eine neuartige Angriffsmethode entdeckt. Darüber spionierten Cyberkriminelle
u. a. Registrierungsstellen für Domain-Namen aus. Mit den gestohlenen Anmeldeinformationen waren sie in der
Lage, weitere Attacken gegen staatliche Organisationen und andere hochrangige Ziele erfolgreich auszuführen.
Deren Website-Besucher wurden auf gespiegelte Seiten umgelenkt, um an sensible Daten zu gelangen. Die Opfer konnten
den Betrug nur schwer erkennen.
„Dieser ausgeklügelte Angriff missbrauchte das Domain Name System (DNS), um Datenverkehr umzuleiten und Zugangsdaten
und sensible Informationen zu sammeln“, erklärt Holger Unterbrink, Security Researcher - Technical Leader,
Cisco Talos/Deutschland. „Da die Angreifer Kontrolle über Länder Domänen wie Saudi-Arabien (.sa)
hatten, konnten sie beliebigen namensbasierten Internet Traffic dieser Regionen auf ihre Systeme umleiten, einschließlich
Webseiten, E-Mail-Portale und VPN-Zugänge.“
Die von Cisco Talos entdeckte und „Sea Turtle“ genannte Angriffskampagne richtete sich gegen mindestens 40 öffentliche
und private Einrichtungen. Dazu gehörten nationale Sicherheitsorganisationen, Außenministerien und große
Energieversorger aus 13 Ländern, vorwiegend aus dem Nahen Osten und Nordafrika. Um Zugang zu diesen Opfern
zu erhalten, wurde zuerst eine Reihe von Drittunternehmen angegriffen, die Dienstleistungen für diese Organisationen
erbringen. Darunter befanden sich DNS-Registrare, Telekommunikationsunternehmen und Internet Service Provider.
Diese Attacken wurden wahrscheinlich von einem staatlich geförderten Akteur durchgeführt, der einen dauerhaften
Zugang zu sensiblen Netzen und Systemen erhalten wollte. Er setzte die Kampagne sogar fort, obwohl bereits verschiedene
Aspekte der Aktivitäten öffentlich bekannt waren. In der Regel stoppen oder reduzieren Cyberkriminelle
ihre Aktivitäten, sobald darüber berichtet wird. So deutet auch dieses Verhalten auf einen staatlichen
Akteur hin, der sich vor Verfolgung sicher zu sein scheint und sich kaum abschrecken lässt.
Neuartige Methoden
Die „Sea Turtle“-Kampagne weist einige einzigartige Merkmale auf. So führten die Angreifer erstmals DNS-Hijacking
auf DNS-Registrierungsstellen-Level aus. Sie waren sehr aggressiv bei diesen Attacken, inklusive Verwaltungsorganisationen
von ccTLDs. Um Anmeldeinformationen zu erhalten, verwendeten sie Let's Encrypts, Comodo, Sectigo und selbstsignierte
Zertifikate in ihren MitM-Angriffen. Zusätzlich verfügten die Angreifer über enormes Wissen darüber,
wie man DNS nutzen und wichtige Internetfunktionen manipulieren kann, in dem sie DNS interne Protokolle wie Extensible
Provisioning Protocol (EPP) zur Manipulation der DNS Einträge verwendeten.
Zugang auf die Netzwerke der DNS-Registrare erhielten sie durch die Ausnutzung bekannter Schwachstellen oder den
Versand von Spear-Phishing-E-Mails. Anschließend stahlen sie legitime SSL-Zertifikate. Typischerweise änderten
die Angreifer die DNS-Datensätze staatlicher Organisationen und Energieversorger und leiteten alle Besucher
ihrer Websites auf einen bösartigen DNS-Server. Diese Manipulation dauerte von wenigen Minuten bis zu mehreren
Tagen. Die Kampagne begann wohl bereits im Januar 2017 und dauerte bis zum ersten Quartal 2019.
Mögliche Schutzmaßnahmen
Sobald diese Zugangsdaten gestohlen werden, lässt sich der Angriff praktisch nicht verhindern, bis die
Zugangsdaten gesperrt sind. Um sich davor zu schützen, sollte eine Bestätigung über einen anderen
Kommunikationskanal erforderlich sein, um Änderungen am DNS-Eintrag einer Organisation vorzunehmen. Falls
der Registrar einen solchen Dienst nicht anbietet, empfiehlt sich eine Multi-Faktor-Authentifizierung, um die DNS-Einträge
des eigenen Unternehmens zu schützen. Netzwerkadministratoren können auch passive DNS-Einträge bei
den von ihnen verwalteten Domains überwachen, um Unregelmäßigkeiten zu erkennen. Wer den Verdacht
hat, dass er von einem solchen Angriff betroffen ist, sollte ein netzwerkweites Passwort Reset von einem vertrauenswürdigen
Computer aus durchführen.
|
