Ciscos Security-Truppe Talos hat eine neuartige Angriffsmethode entdeckt: Kriminelle haben – scheinbar im staatlichen Auftrag – Anmeldeinformationen unter anderem bei Registrierungsstellen für Domain-Namen entwendet. Damit führten sie Angriffe auf staatliche Organisationen und andere hochrangige Ziele durch: Sie konnten deren Website-Besucher auf gespiegelte Seiten umlenken, um an sensible Daten zu gelangen. Für die Opfer sei diese Manipulation nur schwer zu erkennen, so Talos.

Betroffen von den Angriffen waren vor allem Länder im Nahen Osten und in Nordafrika. Bild: Cisco Talos

Betroffen von den Angriffen waren vor allem Länder im Nahen Osten und in Nordafrika. Bild: Cisco Talos

Die Angriffskampagne, vom Talos-Team „Sea Turtle“ (Meeresschildkröte) getauft, richtete sich laut den Security-Experten gegen mindestens 40 öffentliche und private Einrichtungen, darunter nationale Sicherheitsorganisationen, Außenministerien und große Energieversorger aus 13 Ländern, vorwiegend aus dem Nahen Osten und Nordafrika. Um Zugang zu diesen Opfern zu erhalten, griffen die Kriminellen laut Talos zuerst eine Reihe von Unternehmen an, die Dienstleistungen für diese Organisationen erbringen, darunter DNS-Registrare, Telekommunikationsunternehmen und Internet-Service-Provider.

„Dieser ausgeklügelte Angriff missbrauchte das Domain Name System (DNS), um Datenverkehr umzuleiten und Zugangsdaten und sensible Informationen zu sammeln“, so Holger Unterbrink, Security Researcher und Technical Leader bei Cisco Talos in Deutschland. Die Angreifer erlangten laut Unterbrink Kontrolle über Länderdomänen wie Saudi Arabien (.sa) und konnten dank dieses sogenannten „DNS-Hijackings“ beliebigen Internet-Datenverkehr dieser Regionen auf ihre Systeme umleiten, also zum Beispiel Zugriffe auf Websites, E-Mail-Portale und VPN-Zugänge.

Das Talos-Team vermutet, dass die Angriffe einem „staatlich geförderten Akteur“ zuzuschreiben sind, der dauerhaften Zugang zu sensiblen Netzen und Systemen erlangen wollte. Er habe die Kampagne selbst dann noch fortgesetzt, als bereits verschiedene Aspekte der Aktivitäten öffentlich bekannt waren. In der Regel beenden oder reduzieren Cyberkriminelle laut Talos ihre Aktivitäten, sobald darüber berichtet wird. Dass dies hier nicht der Fall war, deute somit auf einen staatlichen Bedrohungsakteur hin, der sich vor Verfolgung sicher wähnt und sich kaum abschrecken lässt.

Die Zeitspanne der einzelnen Angriffe gibt Cisco Talos mit „von wenigen Minuten bis zu mehreren Tagen“ an. Die Kampagne habe wohl bereits im Januar 2017 begonnen und sei bis zum ersten Quartal 2019 gelaufen.

Ablauf der Sea-Turtle-Angriffskampagne unter Nutzung von DNS-Hijacking. Bild: Cisco Talos

Ablauf der Sea-Turtle-Angriffskampagne unter Nutzung von DNS-Hijacking. Bild: Cisco Talos

Erstmals DNS-Hijacking auf Registrarebene

Eine Besonderheit der „Sea Turtle“-Kampagne: Die Angreifer führten laut Talos erstmals DNS-Hijacking auf DNS-Registrarebene aus und attackierten dabei die Verwaltungsorganisationen von ccTLDs (länderspezifischen Top-Level-Domains) aggressiv. Um Anmeldeinformationen zu erhalten, verwendeten sie in ihren MITM-Angriffen (Man in the Middle) Zertifikate von Let’s Encrypt, Comodo und Sectigo sowie selbstsignierte Zertifikate. Zudem, so Talos weiter, verfüge die Angreiferseite über großes Wissen darüber, wie man DNS nutzen und wichtige Internetfunktionen manipulieren kann, indem man DNS-interne Protokolle wie EPP (Extensible Provisioning Protocol) zur Manipulation der DNS-Einträge verwendet.

Zugang zu Netzwerken der DNS-Registrare erhielten sie laut Ciscos Sicherheitsteam durch Ausnutzen bekannter Schwachstellen oder den Versand von Spear-Phishing-E-Mails. Dann stahlen sie legitime SSL-Zertifikate, änderten die DNS-Datensätze staatlicher Organisationen und Energieversorger und leiteten alle Besucher von deren Websites auf einen bösartigen DNS-Server.

Sind derlei Zugangsdaten einmal gestohlen, so warnt das Talos-Team, lasse sich der Angriff praktisch nicht verhindern, bis man die Zugangsdaten wieder sperrt. Um sich davor zu schützen, empfiehlt Talos die Nutzung eines „Registry-Lock-Services“: Änderungen am DNS-Eintrag einer Organisation sind dann nur möglich, wenn die Bestätigung über einen separaten (Out-of-Band-) Kommunikationskanal erfolgt.

Falls der jeweilige DNS-Registrar einen solchen Dienst nicht anbietet, empfiehlt Talos MFA (Mehr-Faktor-Authentifizierung), um die DNS-Einträge des eigenen Unternehmens zu schützen. Ein Administrator könne zudem passive DNS-Einträge bei den von ihm verwalteten Domains überwachen, um Unregelmäßigkeiten zu erkennen, und sollte natürlich den Patch-Stand seiner Systeme aktuell halten. Wer vermutet, von einem derartigen Angriff betroffen zu sein, sollte ein netzwerkweites Passwort-Reset von einem Computer in einem vertrauenswürdigen Netzwerk aus durchführen, so Cisco Talos.

Details zur Sea-Turtle-Angriffskampagne finden sich unter blog.talosintelligence.com/2019/04/seaturtle.html.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.