Unabhängiges Magazin für Wirtschaft und Bildung

18. Juni 2019

Search form

Search form

Neue Angriffsmethode bei Cyberattacken

Neue Angriffsmethode bei Cyberattacken© Bilderbox.com

Netzwerkausrüster Cisco entdeckt neuartige Angriffsmethode von Cyber-Kriminellen. DNS-Einträge werden dabei auch bei Registraren manipuliert und Besucher staatlicher Websites umgeleitet. Betrügereien nur schwer erkennbar.

(red/mich) Cisco Talos hat eine neuartige Angriffsmethode entdeckt, wo Cyberkriminelle auch Registrierungsstellen für Domain-Namen ausspionieren. Mit den gestohlenen Anmeldeinformationen konnten sodann weitere Attacken gegen staatliche Organisationen und andere hochrangige Ziele erfolgreich ausgeführt werden. Deren Website-Besucher wurden auf gespiegelte Seiten umgelenkt, um an sensible Daten zu gelangen. Die Opfer konnten den Betrug nur schwer erkennen.

Trickreiche Variante
„Dieser ausgeklügelte Angriff missbrauchte das Domain Name System (DNS), um Datenverkehr umzuleiten und Zugangsdaten und sensible Informationen zu sammeln“, erklärt Holger Unterbrink, leitender Security-Forscher bei Cisco Talos Deutschland. „Da die Angreifer Kontrolle über Länder-Domänen wie Saudi-Arabien (.sa) hatten, konnten sie beliebigen namensbasierten Internet Traffic dieser Regionen auf ihre Systeme umleiten, einschließlich Webseiten, E-Mail-Portale und VPN-Zugänge.“

Die von Cisco Talos entdeckte und „Sea Turtle“ genannte Angriffskampagne richtete sich gegen mindestens 40 öffentliche und private Einrichtungen. Dazu gehörten nationale Sicherheitsorganisationen, Außenministerien und große Energieversorger aus 13 Ländern, vorwiegend aus dem Nahen Osten und Nordafrika. Um Zugang zu diesen Opfern zu erhalten, wurde zuerst eine Reihe von Drittunternehmen angegriffen, die Dienstleistungen für diese Organisationen erbringen. Darunter befanden sich DNS-Registrare, Telekommunikationsunternehmen und Internet Service Provider.

Neuartige und überaus agressive Methoden
Diese Attacken wurden wahrscheinlich von einem staatlich geförderten Akteur durchgeführt, der einen dauerhaften Zugang zu sensiblen Netzen und Systemen erhalten wollte, so Cisco in einer Aussendung. Er setzte die Kampagne sogar fort, obwohl bereits verschiedene Aspekte der Aktivitäten öffentlich bekannt waren. In der Regel stoppen oder reduzieren Cyberkriminelle ihre Aktivitäten, sobald darüber berichtet wird. „So deutet auch dieses Verhalten auf einen staatlichen Akteur hin, der sich vor Verfolgung sicher zu sein scheint und sich kaum abschrecken lässt“, so Cisco Talos.

Die „Sea Turtle“-Kampagne weist zudem einige einzigartige Merkmale auf. So führten die Angreifer erstmals DNS-Hijacking auf DNS-Registrierungsstellen-Level aus und zeigten grundsätzlich ein sehr aggressives Verhalten. Um etwa Anmeldeinformationen zu erhalten, verwendeten sie sogenannte Let's Encrypts, Comodo, Sectigo sowie selbstsignierte Zertifikate. Zusätzlich verfügten die Angreifer über enormes Wissen darüber, wie man DNS nutzen und wichtige Internetfunktionen manipulieren kann, in dem sie DNS interne Protokolle wie Extensible Provisioning Protocol (EPP) zur Manipulation der DNS Einträge verwendeten.

Zugang auf die Netzwerke der DNS-Registrare erhielten sie durch die Ausnutzung bekannter Schwachstellen oder den Versand von Phishing-E-Mails. Anschließend stahlen sie legitime SSL-Verschlüsselungs-Zertifikate. Typischerweise änderten die Angreifer die DNS-Datensätze staatlicher Organisationen und Energieversorger und leiteten alle Besucher ihrer Websites auf einen bösartigen DNS-Server. Diese Manipulation dauerte von wenigen Minuten bis zu mehreren Tagen. Die Kampagne begann wohl bereits im Januar 2017 und dauerte bis zum ersten Quartal 2019.

Mögliche Schutzmaßnahmen
Sobald diese Zugangsdaten gestohlen werden, lässt sich der Angriff praktisch nicht verhindern, bis die Zugangsdaten gesperrt sind. Um sich davor zu schützen, sollte eine Bestätigung über einen anderen Kommunikationskanal erforderlich sein, um Änderungen am DNS-Eintrag einer Organisation vorzunehmen. Falls der Registrar einen solchen Dienst nicht anbietet, empfiehlt sich eine Multi-Faktor-Authentifizierung, um die DNS-Einträge des eigenen Unternehmens zu schützen.

Netzwerkadministratoren können auch passive DNS-Einträge bei den von ihnen verwalteten Domains überwachen, um Unregelmäßigkeiten zu erkennen. Wer den Verdacht hat, dass er von einem solchen Angriff betroffen ist, sollte ein netzwerkweites Passwort Reset von einem vertrauenswürdigen Computer aus durchführen, so die Ratschläge von Cisco Talos.

Links

red/mich, Economy Ausgabe Webartikel, 30.04.2019