Aktuelles, Branche - geschrieben von cp am Donnerstag, April 18, 2019 21:29 - noch keine Kommentare
Neuartige Angriffsmethode: Erstmals DNS-Einträge bei Registraren manipuliert
Besucher von Websites staatlicher Organisationen umgeleitet / Nutzer können den Betrug nur schwer erkennen
[datensicherheit.de, 18.04.2019] Cisco Talos hat eine neuartige Angriffsmethode entdeckt. Darüber spionierten Cyberkriminelle u.a. Registrierungsstellen für Domain-Namen aus. Mit den gestohlenen Anmeldeinformationen waren sie in der Lage, weitere Attacken gegen staatliche Organisationen und andere hochrangige Ziele erfolgreich auszuführen, deren Website-Besucher wurden auf gespiegelte Seiten umgelenkt, um an sensible Daten zu gelangen. Die Opfer konnten den Betrug nur schwer erkennen.
„Dieser ausgeklügelte Angriff missbrauchte das Domain Name System (DNS), um Datenverkehr umzuleiten und Zugangsdaten und sensible Informationen zu sammeln“, erklärt Holger Unterbrink, Security Researcher – Technical Leader, Cisco Talos/Deutschland. „Da die Angreifer Kontrolle über Länder Domänen wie Saudi Arabien (.sa) hatten, konnten sie beliebigen namensbasierten Internet Traffic dieser Regionen auf ihre Systeme umleiten, einschließlich Webseiten, E-Mail Portale und VPN Zugänge.“
Angriffskampagne „Sea Turtle“ richtet sich gegen öffentliche und private Institutionen
Die „Sea Turtle“ genannte Angriffskampagne richtete sich gegen mindestens 40 öffentliche und private Einrichtungen. Dazu gehörten nationale Sicherheitsorganisationen, Außenministerien und große Energieversorger aus 13 Ländern, vorwiegend aus dem Nahen Osten und Nordafrika. Um Zugang zu diesen Opfern zu erhalten, wurde zuerst eine Reihe von Drittunternehmen angegriffen, die Dienstleistungen für diese Organisationen erbringen. Darunter befanden sich DNS-Registrare, Telekommunikationsunternehmen und Internet Service Provider.
Diese Attacken wurden wahrscheinlich von einem staatlich geförderten Akteur durchgeführt, der einen dauerhaften Zugang zu sensiblen Netzen und Systemen erhalten wollte. Er setzte die Kampagne sogar fort, obwohl bereits verschiedene Aspekte der Aktivitäten öffentlich bekannt waren. In der Regel stoppen oder reduzieren Cyberkriminelle ihre Aktivitäten, sobald darüber berichtet wird. So deutet auch dieses Verhalten auf einen staatlichen Akteur hin, der sich vor Verfolgung sicher zu sein scheint und sich kaum abschrecken lässt.
Neuartige Methoden
Die „Sea Turtle“-Kampagne weist einige einzigartige Merkmale auf. So führten die Angreifer erstmals DNS-Hijacking auf DNS Registrierungsstellen Level aus. Sie waren sehr aggressiv bei diesen Attacken, inklusive Verwaltungsorganisationen von ccTLDs. Um Anmeldeinformationen zu erhalten, verwendeten sie Let’s Encrypts, Comodo, Sectigo und selbstsignierte Zertifikate in ihren MitM Angriffen. Zusätzlich verfügten die Angreifer über enormes Wissen darüber, wie man DNS nutzen und wichtige Internetfunktionen manipulieren kann, in dem Sie DNS interne Protokolle wie Extensible Provisioning Protocol (EPP) zur Manipulation der DNS Einträge verwendeten.
Zugang durch Ausnutzung bekannter Schwachstellen oder Spear-Phishing-E-Mails
Zugang auf die Netzwerke der DNS-Registrare erhielten sie durch die Ausnutzung bekannter Schwachstellen oder den Versand von Spear-Phishing-E-Mails. Anschließend stahlen sie legitime SSL-Zertifikate. Typischerweise änderten die Angreifer die DNS-Datensätze staatlicher Organisationen und Energieversorger und leiteten alle Besucher ihrer Websites auf einen bösartigen DNS-Server. Diese Manipulation dauerte von wenigen Minuten bis zu mehreren Tagen. Die Kampagne begann wohl bereits im Januar 2017 und dauerte bis zum ersten Quartal 2019.
Mögliche Schutzmaßnahmen
Sobald diese Zugangsdaten gestohlen wurden, lässt sich der Angriff praktisch nicht verhindern, bis die Zugangsdaten gesperrt sind. Um sich davor zu schützen, sollte eine Bestätigung über einen anderen Kommunikationskanal erforderlich sein, um Änderungen am DNS-Eintrag einer Organisation vorzunehmen. Falls der Registrar einen solchen Dienst nicht anbietet, empfiehlt sich eine Multi-Faktor-Authentifizierung, um auf die DNS-Einträge des eigenen Unternehmens zu schützen. Netzwerkadministratoren können auch passive DNS-Einträge bei den von ihnen verwalteten Domains überwachen, um Unregelmäßigkeiten zu erkennen. Wer den Verdacht hat, dass er von einem solchen Angriff betroffen ist, sollte ein netzwerkweites Passwort Reset von einem vertrauenswürdigen Computer aus durchführen.
Weitere Informationen zum Thema:
datensicherheit.de, 06.09.2018
Mehr Vertraulichkeit im Internet durch DNS über HTTPS
datensicherheit.de, 28.10.2016
DDoS-Angriff auf DynDNS: Vier Lehren für die Sicherheit im Internet der Dinge
datensicherheit.de, 22.10.2016
Schwerpunkt US-Ostküste: Ausfall beim DNS-Provider Dyn nach DDoS-Attacke
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 22, 2024 18:42 - noch keine Kommentare
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
weitere Beiträge in Branche
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren