Nicht autorisierte Person mit Zugang zu den Anmeldeinformationen von Webhosting-Accounts

Ein Kommentar von Yana Blachman, Threat Intelligence Researcher bei Venafi

[datensicherheit.de, 06.05.2020] Der weltgrößte Domain-Registrar GoDaddy hat eine Datenschutzverletzung offengelegt, bei der 19 Millionen Kunden und ihre Zugangsdaten für ihre Webhosting-Accounts betroffen sind. Nach verschiedenen Quellen wie Bleepingcomputer wurden nun die Kunden über den Vorfall informiert.

Bild: Venafi

Yana Blachman, Threat Intelligence Researcher bei Venafi

Im Anschreiben wurde den Kunden mitgeteilt, dass nach einer Untersuchung des Vorfalls festgestellt wurde, dass eine nicht autorisierte Person Zugang zu den Anmeldeinformationen erhalten hatte. Es wird nun vermutet, dass dieser Unbekannte eine Verbindung zu SSH auf den betroffenen Hosting-Accounts herstellen konnte. SSH ist leider ein recht nützlicher Angriffsvektor für Angreifer. Die Untersuchung ist noch am Laufen. Zwar wurde der Angreifer von den Systemen entfernt, allerdings kann GoDaddy nicht ausschließen, dass es zu möglichen Auswirkungen auf seine Systeme kommt. Weitere Informationen sind bislang nicht bekannt.

Der Vorfall zeigt die Wichtigkeit von SSH-Sicherheit

Der GoDaddy-Sicherheitsvorfall unterstreicht, wie wichtig die SSH-Sicherheit ist. SSH wird für den Zugriff auf die wichtigsten Vermögenswerte einer Organisation verwendet, daher ist es von entscheidender Bedeutung, dass Organisationen sich an die höchste Sicherheitsstufe des SSH-Zugriffs halten und die Basis-Authentifizierung von Berechtigungsnachweisen deaktivieren und stattdessen Maschinenidentitäten verwenden. Dazu gehört die Implementierung einer starken Kryptographie mit privatem und öffentlichem Schlüssel, um einen Benutzer und ein System zu authentifizieren.

Einblick in alle SSH-Maschinenidentitäten notwendig

Parallel dazu müssen Organisationen Einblick in alle ihre SSH-Maschinenidentitäten haben, die im Rechenzentrum und in der Cloud verwendet werden, sowie automatisierte Prozesse, um sie zu ändern. SSH automatisiert die Kontrolle über alle Arten von Systemen, und ohne vollständige Transparenz darüber, wo sie eingesetzt werden, werden Cyber-Angreifer sie weiterhin ins Visier nehmen.

Weitere Informationen zum Thema:

datensicherheit.de, 01.05.2020
Salt: Sehr kritische Schwachstellen entdeckt

datensicherheit.de, 01.07.2019
Fünf Risiken von Maschinenidentitäten

datensicherheit.de, 31.05.2019
Venafi warnt: Open-Source-Bibliotheken gefährden Unternehmen

Palo Alto Networks und GoDaddy deaktivierten 15.000 gekaperte Subdomains

[datensicherheit.de, 25.04.2019] Palo Alto Networks hat nach eigenen Angaben am 25. April 2019 „detaillierte Erkenntnisse einer umfassenden Spam-Kampagne“ der Öffentlichkeit vorgestellt. Als Folge dieses Berichts wurden demnach von GoDaddy bereits „mehr als 15.000 nicht legitime Subdomains vom Netz genommen, von denen aus bis zuletzt Spam an Millionen von Menschen versendet wurde“. Um zu verhindern, dass Benutzerkonten kompromittiert werden, empfiehlt das Unternehmen, „alle Konten mit eindeutigen, sicheren Passwörtern zu sichern und eine Zwei-Faktor-Authentifizierung zu implementieren, wann immer sie angeboten wird“.

Gefälschte Empfehlungen von Prominenten

Laut Palo Alto Networks wurden „in gemeinschaftlicher Arbeit“ mit GoDaddy etwa 15.000 Subdomains für den Verkauf zweifelhafter Produkte zur Gewichtsreduzierung und sonstigen „Wunderheilmitteln“ entfernt.
Die Akteure hinter den betrügerischen Websites versuchten, Millionen von Verbrauchern davon zu überzeugen, dubiose Produkte zu kaufen, unterstützt durch gefälschte Empfehlungen von Prominenten wie Stephen Hawking, Jennifer Lopez und Gwen Stefani.

Opfer meldeten sich unwissentlich für teure Warenabonnements an

Die kompromittierten Websites seien in einer Untersuchung durch den Malware-Forscher Jeff White bei der „Unit 42“, dem Anti-Malware-Team von Palo Alto Networks, aufgedeckt worden. White habe eine massive Kampagne untersucht, in der Affiliate-Vermarkter Spam nutzten, um Opfer auf Websites zu schleusen, „wo sie dazu verleitet wurden, sich unwissentlich für teure Warenabonnements anzumelden“.
Er habe das Netzwerk entdeckt, „nachdem er auffallende visuelle Ähnlichkeiten in Templates fand, die zum Aufbau einschlägiger Websites verwendet wurden“. Diese bieten demnach „ein buntes Warenportfolio feil – von Diätpillen über Gehirndopingmittel bis hin zu Cannabidiol-Öl“.

Gestohlene Zugangsdaten für eine Website oft auch für andere passend

GoDaddy habe Ergebnisse von Palo Alto Networks überprüft und festgestellt, dass die Websites auf Subdomains von mehreren hundert Kunden verwiesen hätten, deren Konten durch die Verwendung legitimer Zugangsdaten kompromittiert worden seien.
Die Angreifer hätten sich diese Zugangsdaten höchstwahrscheinlich durch Phishing-Betrug beschafft, wobei Kunden dazu verleitet worden seien, ihre Passwörter anzugeben. Ebenso könnte „Credential Stuffing“ eingesetzt worden sein – Hacker nutzten es hierbei aus, dass Benutzer oftmals dieselben Passwörter verwendeten, um mehrere Konten zu schützen. „Die Hacker nehmen dann die gestohlenen Zugangsdaten für eine Website, um sich auf anderen Websites Zugang zu verschaffen.“

2 Jahre tiefgründige Erforschung der Welt des Affiliate-Marketings

GoDaddy habe die kompromittierten Subdomains nun heruntergefahren, und die betroffenen Kunden dazu veranlasst, ihre Passwörter zurückzusetzen, und sie darüber informiert, dass eine Sicherheitsmaßnahme ergriffen worden sei.
Palo Alto Networks hat „einen detaillierten Bericht über die Untersuchung veröffentlicht“. Darin beschreibe White, wie er im Rahmen einer zwei Jahre dauernden tiefgründigen Erforschung der Welt des Affiliate-Marketings dieses Netzwerk aufgedeckt habe. White beschreibe darin auch, wie er die Infrastruktur des Netzwerks abgebildet und die betrügerischen Subdomains aufgedeckt habe, welche er dann GoDaddy gemeldet habe.

Vorsicht beim Kauf von Waren, die per E-Mail beworben werden

Der Bericht zeige ebenso auf, „wie Opfer mit Spam mit verkürzten Links angesprochen werden, die sie zu Websites mit kompromittierten Accounts leiten“. So gelangten sie wiederum zu den Websites mit zweifelhaften Produkten, die „wundersame Ergebnisse versprechen“.
Palo Alto Networks empfiehlt, „dass Verbraucher bei ähnlichen Online-Betrügereien auf der Hut sein sollten, insbesondere, wenn sie den Kauf von Waren in Betracht ziehen, die per E-Mail beworben werden“. Benutzer sollten alle Produkte, die per E-Mail oder Online-Anzeigen vermarktet werden, auf ihre Legitimität hin untersuchen. Zu den im Forschungsbericht von White hervorgehobenen Produkten habe es bereits mehrere Beschwerden gegeben, die online leicht zu finden seien. Eine gute Faustregel sei das alte Sprichwort: „Wenn es zu gut klingt, um wahr zu sein, dann ist es wahrscheinlich nicht wahr.“

Abbildung: Palo Alto Networks

Dubioser Heilmittel-Vertrieb mit gefälschten Empfehlungen von Prominenten

Weitere Informationen zum Thema:

paloalto NETWORKS, Unit 42, 25.04.2019
GoDaddy Shutter Subdomains Selling Miracles

paloalto NETWORKS, Unit 42, Jeff White, 25.04.2019
Takedowns and Adventures in Deceptive Affiliate Marketing

datensicherheit.de, 21.04.2019
Cybersecurity Business Value Calculator: Wie sich Cybersicherheit für Unternehmen auszahlt

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 06.12.2017
Studie von Palo Alto Networks: IT-Manager im Gesundheitswesen setzen auf Cyber-Sicherheit

datensicherheit.de, 18.11.2017
EU-DSGVO: Palo Alto Networks untersuchte Kommunikationsprobleme in Unternehmen

Hackergruppe Spammy Bear kaperte 78 Domains

Ein Kommentar von Broderick Perelli-Harris, Senior Director Professional Services bei Venafi

[datensicherheit.de, 28.01.2019] Untersuchungen in den USA und Kanada haben ergeben, dass die Fehlalarme über angebliche Bombendrohungen Mitte Dezember auf eine Schwachstelle in GoDaddy zurückzuführen ist. Die Drohungen hatten zu Evakuierungen und Schließungen in beiden Ländern geführt.

Eine Hackergruppe namens Spammy Bear hatte 78 Domains gekapert, darunter die von Expedia, Yelp und Mozilla, um dort Lösegeld in Form von Bitcoin zu erpressen. Ausgelöst wurden die Angriffe durch Spam-E-Mails, die die Opfer vor der Bombe warnten oder aber diese mit angeblichen Webcam-Video-Aufzeichnungen erpresste, auf denen die Opfer angeblich sexuelle Handlungen vollziehen. In beiden Fällen wurden Bitcoin als Lösegeld gefordert. Der Sicherheitsforscher, der den Fehler entdeckt hat, schätzt nun, dass weltweit über eine halbe Million Domains anfällig für Angriffe dieser Art sind. Er rechnet daher mit Nachahmern und weiteren betroffenen Unternehmen.

Bild: Venafi

Broderick Perelli-Harris, Senior Director Professional Services bei Venafi

Hinweis, dass Hacker das Maschinenidentitätssystem missbrauchen, um ihre Angriffe durchzuführen

Dies ist ein weiterer Hinweis, dass Hacker das Maschinenidentitätssystem missbrauchen, um ihre Angriffe durchzuführen. Maschinenidentitäten sind die Grundlage für das Vertrauen in der digitalen Welt und Hacker nutzen sie, um ahnungslosen Benutzern vertrauenswürdig zu erscheinen. GoDaddy ist sicherlich nicht unschuldig an der Misere. Die Organisationen und Unternehmen, die Opfer dieser Attacken geworden sind, sollten sich jedoch fragen, warum sie die Maschinenidentitäten auf ihren Domain-Servern nicht besser geschützt haben. Denn dann hätten sie verhindern können, dass die Hacker sie für ihre Attacken missbrauchen. Indem sie ihr Abonnement für GoDaddy ablaufen ließen, ohne die Domain-Name-Server zu aktualisieren, gewährten sie jedem informierten Angreifer einen einfachen Zugang zu ihren IT-Systeme. Die Erkenntnis, dass Maschinenidentitäten geschützt werden müssen, ist leider nicht weit verbreitet. Wenn Unternehmen weiterhin den Schutz ihrer Maschinenidentitäten vernachlässigen, werden diese Angriffe nur noch häufiger auftreten.

Weitere Informationen zum Thema:

datensicherheit.de, 27.01.2019
Ransomware-Angriffe: Warnung an Skilift- und Gondelbetreiber

datensicherheit.de, 11.12.2018
Sextortion: Erpressung und Ransomware-Angriff

datensicherheit.de, 10.12.2018
Dr. Shifro: Check Point deckt neues Ransomware-Geschäftsmodell auf

datensicherheit.de, 27.11.2018
Apple-Betriebssysteme: Ransomware-Angriffe steigen um 500 Prozent an