Cisco entdeckt neuartige Angriffsmethode: DNS-Einträge bei Registraren manipuliert

Eine neuartige Cyber-Angriffsmethode wurde von den Security-Experten bei Cisco Talos entdeckt. Kriminelle spionierten darüber unter anderem Registrierungsstellen für Domain-Namen aus. Mit den gestohlenen Anmeldeinformationen waren sie in der Lage, weitere Attacken gegen staatliche Organisationen und andere hochrangige Ziele erfolgreich auszuführen. Deren Website-Besucher wurden dazu auf gespiegelte Seiten umgelenkt, um an sensible Daten zu gelangen. Die Opfer konnten den Betrug nur schwer erkennen.

„Dieser ausgeklügelte Angriff missbrauchte das Domain Name System (DNS), um Datenverkehr umzuleiten und Zugangsdaten und sensible Informationen zu sammeln“, erklärt Holger Unterbrink, Security Researcher, Technical Leader bei Cisco Talos/Deutschland. „Da die Angreifer Kontrolle über Länder-Domänen wie Saudi Arabien (.sa) hatten, konnten sie beliebigen namensbasierten Internet Traffic dieser Regionen auf ihre Systeme umleiten, einschließlich Webseiten, E-Mail-Portale und VPN-Zugänge.“

Die von Cisco Talos entdeckte und „Sea Turtle“ genannte Angriffskampagne richtete sich gegen mindestens 40 öffentliche und private Einrichtungen, darunter nationale Sicherheitsorganisationen, Außenministerien und große Energieversorger aus 13 Ländern, vorwiegend aus dem Nahen Osten und Nordafrika. Um Zugang zu diesen Zielen zu erhalten, wurde zuerst eine Reihe von Drittunternehmen angegriffen, die Dienstleistungen für diese Organisationen erbringen. Darunter befanden sich DNS-Registrare, Telekommunikationsunternehmen und Internet Service Provider. Die Attacken wurden wahrscheinlich von einem staatlich geförderten Akteur durchgeführt, der einen dauerhaften Zugang zu sensiblen Netzen und Systemen erhalten wollte. Er setzte die Kampagne sogar dann noch fort, als bereits verschiedene Aspekte der Aktivitäten öffentlich bekannt waren. In der Regel stoppen oder reduzieren Cyber-Kriminelle ihre Aktivitäten, sobald darüber berichtet wird. So deutet auch dieses Verhalten auf einen staatlichen Akteur hin, der sich vor Verfolgung sicher zu sein scheint und kaum abschrecken lässt.

Die „Sea Turtle“-Kampagne weist einige einzigartige Merkmale auf. So führten die Angreifer erstmals DNS-Hijacking auf DNS-Registrierungsstellen-Level aus. Sie waren sehr aggressiv und attackierten auch Verwaltungsorganisationen von ccTLDs. Um Anmeldeinformationen zu erhalten, verwendeten sie Let‘s Encrypts, Comodo, Sectigo und selbstsignierte Zertifikate in ihren MitM-Angriffen.