Security-Experten entdecken neuartige Angriffsmethode
Mit der Angriffskampagne 'Sea Turtle' ist es Cyberkriminellen unter anderem gelungen, Registrierungsstellen für Domain-Namen auszuspionieren. Entdeckt wurde die Methode von Cisco Talos.
Bild: ©Adrian_ilie82/Fotolia.comCisco Talos hat nach eigenen Angaben eine neuartige Angriffsmethode entdeckt, über die Cyberkriminelle unter anderem Registrierungsstellen für Domain-Namen ausspionieren können. Mit den gestohlenen Anmeldeinformationen waren sie in der Lage, weitere Attacken gegen staatliche Organisationen sowie andere hochrangige Ziele erfolgreich auszuführen. Deren Website-Besucher wurden auf gespiegelte Seiten umgelenkt, um an sensible Daten zu gelangen. Die Opfer konnten den Betrug nur schwer erkennen. "Dieser ausgeklügelte Angriff missbrauchte das Domain Name System (DNS), um Datenverkehr umzuleiten und Zugangsdaten und sensible Informationen zu sammeln", erklärt Holger Unterbrink, Security Researcher bei Cisco Talos Deutschland. "Da die Angreifer Kontrolle über Länder Domänen wie Saudi Arabien (.sa) hatten, konnten sie beliebigen namensbasierten Internet Traffic dieser Regionen auf ihre Systeme umleiten, einschließlich Webseiten, E-Mail Portale und VPN Zugänge."
Einrichtungen in 13 Ländern betroffen
Die sogenannte 'Sea Turtle'-Angriffskampagne richtete sich laut Cisco Talos gegen mindestens 40 öffentliche und private Einrichtungen. Dazu gehörten nationale Sicherheitsorganisationen, Außenministerien und große Energieversorger aus 13 Ländern, vorwiegend aus dem Nahen Osten und Nordafrika. Um Zugang zu diesen Angriffszielen zu erhalten, wurde zuerst eine Reihe von Drittunternehmen angegriffen, die Dienstleistungen für diese Organisationen erbringen - darunter DNS-Registrare, Telekommunikationsunternehmen und Internet Service Provider.
Attacke nach Bekanntwerden fortgesetzt
Bei Cisco Talos geht man davon aus, dass die Attacken möglicherweise von einem staatlich geförderten Akteur durchgeführt wurden, der einen dauerhaften Zugang zu sensiblen Netzen und Systemen erhalten wollte. Die Kampagne wurde zudem fortgesetzt, obwohl bereits verschiedene Aspekte der Aktivitäten öffentlich bekannt waren. In der Regel stoppen oder reduzieren Cyberkriminelle ihre Aktivitäten, sobald darüber berichtet wird. Auch dieses Verhalten deutet auf einen staatlichen Akteur hin, teilt Cisco Talos weiter mit.
DNS-Hijacking
Die Kampagne weist einige einzigartige Merkmale auf. So führten die Angreifer erstmals DNS-Hijacking auf DNS-Registrierungsstellen-Level aus. Bei diesen Attacken gingen sie sehr aggressiv vor, inklusive Verwaltungsorganisationen von Country-Code-Top-Level-Domains. Um Anmeldeinformationen zu erhalten, verwendeten die Angreifer in ihren Man-in-the-Middle-Angriffen Let's Encrypts, Comodo, Sectigo und selbstsignierte Zertifikate. Zugang auf die Netzwerke der DNS-Registrare erhielten sie durch die Ausnutzung bekannter Schwachstellen oder den Versand von Spear-Phishing-E-Mails. Anschließend stahlen sie legitime SSL-Zertifikate. Typischerweise änderten die Angreifer die DNS-Datensätze staatlicher Organisationen und Energieversorger und leiteten alle Besucher der Websites auf einen bösartigen DNS-Server um. Diese Manipulation dauerte von wenigen Minuten bis zu mehreren Tagen. Bei Cisco Talos geht man davon aus, dass die Kampagne bereits im Januar 2017 begann und bis zum ersten Quartal 2019 dauerte.
Möglicher Schutz
Kommen die Angreifer an die Zugangsdaten, lässt sich der Angriff praktisch nicht verhindern, bis die Zugangsdaten gesperrt sind. Um sich davor zu schützen empfiehlt das Talos-Team eine Bestätigung über einen anderen Kommunikationskanal, um Änderungen am DNS-Eintrag einer Organisation vorzunehmen. Falls der Registrar einen solchen Dienst nicht anbietet, empfiehlt sich eine Multi-Faktor-Authentifizierung, um auf die DNS-Einträge des eigenen Unternehmens zu schützen. Netzwerkadministratoren können auch passive DNS-Einträge bei den von ihnen verwalteten Domains überwachen, um Unregelmäßigkeiten zu erkennen. Wer den Verdacht hat, von einem solchen Angriff betroffen zu sein, sollte ein netzwerkweites Passwort-Reset von einem vertrauenswürdigen Computer aus durchführen, raten die Experten von Cisco Talos.
Mit der Angriffskampagne 'Sea Turtle' ist es Cyberkriminellen unter anderem gelungen, Registrierungsstellen für Domain-Namen auszuspionieren. Entdeckt wurde die Methode von Cisco Talos.
Bild: ©Adrian_ilie82/Fotolia.comCisco Talos hat nach eigenen Angaben eine neuartige Angriffsmethode entdeckt, über die Cyberkriminelle unter anderem Registrierungsstellen für Domain-Namen ausspionieren können. Mit den gestohlenen Anmeldeinformationen waren sie in der Lage, weitere Attacken gegen staatliche Organisationen sowie andere hochrangige Ziele erfolgreich auszuführen. Deren Website-Besucher wurden auf gespiegelte Seiten umgelenkt, um an sensible Daten zu gelangen. Die Opfer konnten den Betrug nur schwer erkennen. "Dieser ausgeklügelte Angriff missbrauchte das Domain Name System (DNS), um Datenverkehr umzuleiten und Zugangsdaten und sensible Informationen zu sammeln", erklärt Holger Unterbrink, Security Researcher bei Cisco Talos Deutschland. "Da die Angreifer Kontrolle über Länder Domänen wie Saudi Arabien (.sa) hatten, konnten sie beliebigen namensbasierten Internet Traffic dieser Regionen auf ihre Systeme umleiten, einschließlich Webseiten, E-Mail Portale und VPN Zugänge."
Cisco Systems GmbH
Dieser Artikel erschien in INDUSTRIE 4.0-MAGAZIN 8 2019 - 25.04.19.Für weitere Artikel besuchen Sie www.i40-magazin.de
