empty –>

Die Welle von Domain-Hijacking-Angriffen, die das Internet in den letzten Monaten heimgesucht haben, ist schlimmer als bisher angenommen, so ein neuer Bericht, der besagt, dass staatlich geförderte Akteure trotz des wachsenden Bewusstseins für die Operation weiterhin unverschämt auf Schlüsselinfrastrukturen ausgerichtet sind.

Der Bericht wurde am Mittwoch von der Talos-Sicherheitsgruppe von Cisco veröffentlicht und zeigt, dass die Entführungskampagne vor drei Wochen auf die Domäne des schwedischen Beratungsunternehmens Cafax ausgerichtet war: Lars-Johan Liman, Senior Systems Specialist bei Netnod, einem schwedischen DNS-Provider, ist der einzige gelistete Berater von Cafax, Netnod ist auch Betreiber von i.root, einem der grundlegenden 13 DNS-Root-Server des Internets, Liman ist als Verantwortlicher für den i-root aufgeführt.

Reverse DNS records zeigen, dass nsd.cafax.com Ende März eine bösartige IP-Adresse, die von den Angreifern kontrolliert wird, aufgelöst hat. nSD wird oft verwendet, um Name-Server-Dämon, eine Open-Source-Anwendung zur Verwaltung von DNS-Servern, zu verkürzen. Es sieht unwahrscheinlich aus, dass es den Angreifern gelungen ist, Cafax tatsächlich zu kompromittieren, obwohl es nicht möglich war, die Möglichkeit auszuschließen.

“Ich habe auch Zuschreibungen zu diesem Namen gesehen”, sagte Liman zu Ars und verwies auf nsd.cafax.com. “Das Merkwürdige ist, dass dieser Name nicht existiert, es gibt einen solchen Namen in der legitimen cafax.se Domain und, soweit ich mich erinnern kann, war er noch nie”, sagte er, “die Techniken, die am Märzangriff beteiligt waren, stehen im Einklang mit der Netnod-Entführung.

Die Hacker – von denen Talos behauptet, dass sie von der Regierung eines unbenannten Landes gesponsert werden – führen komplexe Angriffe durch, die typischerweise damit beginnen, bekannte Schwachstellen in den Netzwerken der Ziele auszunutzen (in einem bekannten Fall haben sie Speer-Phishing-E-Mails verwendet), und die Angreifer nutzen diesen ersten Zugriff, um Zugangsdaten zu erhalten, die es ihnen ermöglichen, die DNS-Einstellungen der Ziele zu ändern.

Permanenter Zugriff

Permanenter Zugriff

Kurz für “Domain Name System”, DNS ist einer der grundlegendsten Dienste des Internets, übersetzt menschenlesbare Domainnamen in die IP-Adressen, die ein Computer benötigt, um andere Computer über das globale Netzwerk zu finden. DNS-Hijacking funktioniert, indem es die DNS-Einträge fälscht, um eine Domain dazu zu bringen, auf eine IP-Adresse zu verweisen, die von einem Hacker und nicht vom rechtmäßigen Eigentümer der Domain kontrolliert wird.

Trotz der seit Anfang des Jahres weit verbreiteten Aufmerksamkeit zeigen die Entführungen keine Anzeichen eines Abbaus (was die übliche Vorgehensweise ist, sobald eine staatlich geförderte Hackingoperation bekannt wird). 27 von Cisco als zu den Hackern gehörend identifizierte IP-Adressen (von denen einige zuvor von der Sicherheitsfirma Crowdstrike veröffentlicht wurden) zeigen, dass neben Cafax auch Domains für die folgenden Organisationen in den letzten sechs Wochen entführt wurden:

  • mofa.gov.sy, gehört zum syrischen Außenministerium

  • .

  • syriatel.sy, gehört zum syrischen Mobilfunkanbieter Syriatel

  • .

  • owa.gov.cy, ein Microsoft Outlook Web Access Portal für die Regierung Zyperns (auch früher von denselben Angreifern entführt)

  • syriamoi.gov.sy, Syriens Innenministerium

  • .

Befestigung des Fundaments

Im Bericht vom Mittwoch schrieben die Talos-Forscher Danny Adamitis, David Maynor, Warren Mercer Olney und Paul Rascagneres:

.

Während sich dieser Vorfall auf primär nationale Sicherheitsorganisationen im Nahen Osten und in Nordafrika beschränkt, und wir wollen die Folgen dieser spezifischen Kampagne nicht überbewerten, befürchten wir, dass der Erfolg dieser Operation dazu führen wird, dass Akteure das globale DNS-System breiter angreifen: DNS ist eine grundlegende Technologie, die das Internet unterstützt, und die Manipulation dieses Systems hat das Potenzial, das Vertrauen der Nutzer in das Internet zu untergraben.

Talos nennt die Kampagne “Sea Turtle”, die sich deutlich von der DNSpionage-Massen-DNS-Hijacking-Kampagne unterscheidet und unabhängig ist, von der Talos im vergangenen November berichtete, dass sie sich an Organisationen im Nahen Osten richtet.

In einer E-Mail erklärte Talos’ Outreach-Direktor Craig Williams:

DNSpionage und Sea Turtle haben eine starke Korrelation, da sie beide die DNS-Hijacking/Redirection-Methoden verwenden, um ihre Angriffe durchzuführen, aber ein deutlicher Unterschied besteht in ihrem Reifegrad und ihrer Fähigkeit: Bei DNSpionage beobachteten wir einige Mängel, d.h. eine ihrer Malware-Samples hinterließ ein Debug-Protokoll, Sea Turtle hat ein viel ausgereifteres Niveau an Spielbüchern, indem sie ihre Nebenziele angreift, bevor sie ihren Fokus auf eine bestimmte Gruppe von Opfern im Mittleren Osten und Afrika verlagern.

  • CVE-2009-1151: PHP-Code Injektion Schwachstelle, die phpMyAdmin

  • betrifft.

  • CVE-2014-6271: Schwachstelle bei der Ausführung von Remote-Code im GNU Bash-System, insbesondere SMTP (dies war Teil der Schwachstellen im Zusammenhang mit Shellshock)

  • .

  • CVE-2017-3881: Sicherheitslücke bei der Ausführung von Remote-Code durch nicht authentifizierte Benutzer mit erhöhten Rechten in Cisco-Switches

  • .

  • CVE-2017-6736: Schwachstelle bei der Ferncodeausnutzung in Cisco 2811 Integrated Services Routers

  • .

  • CVE-2017-12617: Schwachstelle bei der Ausführung von Remote-Code in Apache-Webservern mit Tomcat

  • .

  • CVE-2018-0296: Schwachstelle bei der Verzeichnisdurchquerung, die unbefugten Zugriff auf Cisco Adaptive Security Appliances (ASAs) und Firewalls ermöglicht

  • .

  • CVE-2018-7600: die so genannte Drupalgeddon2-Schwachstelle im Drupal Content Management System, die die Ausführung von Remote-Code ermöglicht

  • .

VPNs? Kein Problem

Die Hacker verwenden auch legitime Zertifikate, um sich als virtuelle private Netzwerkanwendungen oder -geräte auszugeben, einschließlich der Adaptive Security Appliance-Produkte von Cisco, die dann zur Unterstützung von Man-in-the-Middle-Angriffen verwendet werden.

“Durch den Zugriff auf das SSLVPN-Zertifikat, das zur Bereitstellung des VPN-Portals verwendet wird, wird ein einzelner Benutzer leicht dazu gebracht, zu glauben, dass es sich um einen legitimen Dienst seiner Organisation handelt”, sagte Williams zu Ars. “Sea Turtle wäre dann in der Lage, problemlos gültige VPN-Anmeldeinformationen zu sammeln und damit weiteren Zugriff auf seine Ziel-Infrastruktur zu erhalten.”

Geheimnisse zum Erfolg

>

Talos sagte, dass Sea Turtle aus mehreren Gründen weiterhin sehr erfolgreich ist: Zum einen sind Intrusion Detection- und Intrusion Prevention-Systeme nicht darauf ausgelegt, DNS-Anfragen zu protokollieren, was einen großen blinden Fleck für Personen hinterlässt, die versuchen, Angriffe auf ihre Netzwerke zu erkennen.

Die bisher übersehene Technik, die eine Browser-vertraute Zertifikatsvertretung ermöglicht, hat ebenfalls wesentlich zum Erfolg von Sea Turtle beigetragen.

.

    .

    /li>.

  • Mandantierende Multi-Faktor-Authentifizierung für alle Benutzer, einschließlich Subunternehmer
  • .

  • Verwendung sicherer Passwörter, ggf. mit Hilfe von Passwortmanagern
  • /li>.

    <Überwachung auf die Ausstellung unbefugter TLS-Zertifikate für Domains

  • /li>.