![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Die Welle der Domain-Hijacking-Angriffe, die das Internet in den letzten Monaten getroffen haben, ist schlimmer als bisher angenommen. Sowohl Cisco Talos als auch FireEye legen entsprechende Berichte vor, die besagen, dass staatlich gef\u00f6rderte Akteure trotz des wachsenden Aufmerksamkeit weiterhin wichtige Infrastrukturen angreifen. <\/p>\n
<\/p>\n
Cisco Talos hat eine neue Cyber-Bedrohungskampagne entdeckt, die sie \"Sea Turtle\" nennen. Diese zielt auf \u00f6ffentliche und private Einrichtungen, einschlie\u00dflich nationaler Sicherheitsorganisationen, die haupts\u00e4chlich im Nahen Osten und Nordafrika ans\u00e4ssig sind. <\/p>\n Die Kampagne begann voraussichtlich bereits im Januar 2017 und dauerte bis zum ersten Quartal 2019. Die Cisco Talos Untersuchung ergab, dass mindestens 40 verschiedene Unternehmen in 13 verschiedenen L\u00e4ndern w\u00e4hrend dieser Kampagne gef\u00e4hrdet waren. Cisco Talos ist sich recht sicher, dass diese Angriffe von einem fortgeschrittenen, staatlich gef\u00f6rderten Akteur durchgef\u00fchrt werden, der einen dauerhaften Zugang zu sensiblen Netzen und Systemen anstrebt.<\/p>\n Die Akteure hinter dieser Kampagne haben sich darauf konzentriert, DNS-Hijacking als Mechanismus zur Erreichung ihrer Endziele zu nutzen. DNS-Hijacking tritt auf, wenn der Akteur DNS-Namensaufzeichnungen illegal \u00e4ndern kann, um Benutzer auf von Akteuren kontrollierte Server zu verweisen. Das US Department of Homeland Security (DHS) warnte am 24. Januar 2019 vor dieser Aktivit\u00e4t. Ein Angreifer kann die Benutzer beim Besuch von Internetseiten umleiten und k\u00f6nnte sogar g\u00fcltige Verschl\u00fcsselungszertifikate f\u00fcr die Domainnamen einer Organisation erhalten.<\/p>\n In der Sea Turtle-Kampagne konnten Talos zwei verschiedene Gruppen von Opfern identifizieren. <\/p>\n Einer der bemerkenswertesten Aspekte dieser Kampagne war, wie sie in der Lage waren, DNS-Hijacking ihrer Hauptopfer durchzuf\u00fchren, indem sie sich zun\u00e4chst auf diese Drittanbieter konzentrierten. Das passt m\u00f6glicherweise auch zu dem von mir im Blog-Beitrag Indischer Outsourcing-Gigant Wipro gehackt?<\/a> beschriebenen Vorfall. Weitere Informationen lassen sich im Talos-Beitrag<\/a> oder bei Arstechnica<\/a> nachlesen. <\/p>\n Heute ist mit von den Sicherheitsspezialisten von FireEye noch eine weitere Information zugegangen. Auch FireEye beobachtet derzeit mehrere Aktivit\u00e4ten, die f\u00fcr die Manipulation von DNS-Eintr\u00e4gen verantwortlich sind. Auf einige dieser Aktivit\u00e4ten haben die Sicherheitsspezialisten im Blog-Beitrag vom 9. Januar 2019<\/em><\/a> <\/em>hingewiesen. Dazu schreibt FireEye:<\/em><\/p>\n Wir gehen davon aus, dass ein kleiner Teil dieser Aktivit\u00e4ten vermutlich von einem iranischen Akteur durchgef\u00fchrt wird. Dabei nutzt der Akteur Malware, die wir bei FireEye TWOTONE<\/b> nennen \u2013 bei TALOS DNSpionage<\/b> genannt.<\/i> <\/i><\/p>\n<\/blockquote>\n Die Spezialisten von FireEye vermuten jedoch, dass andere Akteure – und eventuell andere Staaten – hinter weiteren Bedrohungen durch DNS-Manipulation stehen, die nicht in diesem Zusammenhang stehen. Einige dieser Aktivit\u00e4ten wurden bereits im Januar 2019 in oben verlinktem Blog-Beitrag vorgestellt. Die Spezialisten von FireEye glauben, dass diese Aktivit\u00e4t die Verwendung gestohlener EPP-Anmeldeinformationen beinhaltete und wahrscheinlich staatlich finanziert wurde. EPP ist ein zugrundeliegendes Protokoll, das zur Verwaltung von DNS-Systemen verwendet wird. <\/p>\n Diese Akteure manipulieren erfolgreich DNS-Eintr\u00e4ge auf Registrierungsebenen, obwohl FireEye bisher nicht direkt beobachten konnte, wie ccTLD-Eintr\u00e4ge ge\u00e4ndert werden. Die \u00c4nderung dieser Datens\u00e4tze k\u00f6nnte es Angreifern erm\u00f6glichen, den Datenverkehr an die Infrastruktur des Akteurs umzuleiten, zu entschl\u00fcsseln, aufzuzeichnen und an das gew\u00fcnschte Ziel weiterzuleiten. Ein Akteur k\u00f6nnte die Betroffenen auch auf Malware umleiten oder durch Anfragen einen Denial-of-Service-Angriff starten. <\/p>\n Diese Vorf\u00e4lle k\u00f6nnen sehr schwer zu erkennen sein, da der Nachweis von Datensatz\u00e4nderungen und SSL-Zertifikaten au\u00dferhalb eines traditionellen Unternehmensnetzwerks liegt und die Sicherheit dieser Systeme bei einem Drittanbieter gehostet werden. <\/p>\n Abgesehen von einem m\u00f6glichen iranischen Akteur und einem weiteren, im Blog-Beitrag vom Januar 2019 beschriebenen, Akteur, beobachtet FireEye zudem Hijacking-Aktivit\u00e4ten, von denen die Sicherheitsspezialisten vermuten, dass sie mit v\u00f6llig unterschiedlichen Akteuren zusammenh\u00e4ngen. <\/p>\n So wurde beispielsweise bei einem Vorfall in Israel im M\u00e4rz 2019 DNS-Manipulation eingesetzt. Dabei \u00fcbernahm der Akteur die Domain eines Drittanbieter-Plugins, das auf israelischen Websites weit verbreitet ist, um Ransomware zu verbreiten. Der Zustellmechanismus schlug fehl, allerdings wurden die Benutzer auf eine Seite umgeleitet, die eine politische Botschaft anzeigte. <\/p>\n Die Sicherheitsforscher haben diese Methode bereits bei vielen unterschiedlichen Akteuren beobachtet, oft mit dem Ziel von Spionage, Kriminalit\u00e4t, Hacktivismus oder anderen Motiven. FireEye geht davon aus, dass in naher Zukunft mehr Akteure diese Methode nutzen werden. Auch wenn sich ein Gro\u00dfteil der von TALOS beschriebenen Aktivit\u00e4ten auf den Nahen Osten und Nordafrika konzentriert, gibt es keinen Grund anzunehmen, dass die DNS-Manipulation auf eine bestimmte Region beschr\u00e4nkt bleibt. <\/p>\n Man k\u00f6nnte es auch platter ausdr\u00fccken: Im Internet brennt derzeit die H\u00fctte \u2013 wenn die DNS-Struktur nicht mehr vertrauensw\u00fcrdig ist, kann nichts mehr im Internet sicher abgewickelt werden. Weder Datenspeicherung in der Cloud, Daten\u00fcbertragung, Banking und was wei\u00df ich. Wir m\u00fcssen davon ausgehen, dass alle Internetverbindungen umgeleitet werden k\u00f6nnen. Statt auf der gew\u00fcnschten Webseite zu surfen, wird alles \u00fcber einen Akteur umgeleitet, der das im besten Fall mitliest, im schlimmsten Fall manipuliert. <\/p>\n","protected":false},"excerpt":{"rendered":" Die Welle der Domain-Hijacking-Angriffe, die das Internet in den letzten Monaten getroffen haben, ist schlimmer als bisher angenommen. Sowohl Cisco Talos als auch FireEye legen entsprechende Berichte vor, die besagen, dass staatlich gef\u00f6rderte Akteure trotz des wachsenden Aufmerksamkeit weiterhin wichtige … Weiterlesen Am 17. April 2019 ver\u00f6ffentlichte Cisco Talos den Blog-Beitrag DNS Hijacking Abuses Trust In Core Internet Service<\/a>, der Licht in die Domain-Hijacking-Angriffe per DNS bringt und Fragen, ob den Internet-Basis-Diensten noch vertraut werden kann, aufwirft.<\/p>\n
![\"KRITIS-Netzwerk\"](\"https:\/\/i.imgur.com\/yNk8TvY.jpg\"\/ "\\"KRITIS-Netzwerk\\"")
(Quelle: Pexels Markus Spiske<\/a> CC0 Lizenz) <\/p>\n\n
FireEye beobachtet Manipulationen von DNS-Eintr\u00e4gen<\/h2>\n
\n