Phisher DNS-Hijacking
Phisher DNS-Hijacking

%%title%% DNS-Hijacking Angriff

Staatlich geförderte Hacker haben die griechische ICS-Forth angegriffen. Dies geschieht mittels DNS-Hijacking. Die Opfer sind oft ahnungslos.

Staatlich geförderte Hacker haben erneut die ICS-Forth angegriffen, die ICS-Forth verwaltet Griechenlands Top-Level-Domain-Ländercodes .gr und.el. Die Sea Turtle-Gruppe kehrt mit neuen Angriffen zurück und setzt ihre DNS-Hijacking-Angriffe fort.

Staatlich geförderte Hacker haben erneut die ICS-Forth mittels DNS-Hijacking angegriffen. Die ICS-Forth verwaltet Griechenlands Top-Level-Domain-Ländercodes .gr und.el. ICS-Forth, steht für Institute of Computer Science der Foundation for Research and Technology und hat den Sicherheitsvorfall in E-Mails, die sie am 19. April an die Domaininhaber geschickt hat, öffentlich gemacht.

Gleiche Sea Turtle Gruppe hinter den Angriffen erkannt

Die Hacker hinter dem Verstoß gehören der selben Sea Turtle Gruppe an, die schon in einem Bericht von Cisco Talos vom April beschrieben wurde. Die Gruppe verwendet einen relativ neuen Ansatz zum Hacken von Zielen. Anstatt ihre Opfer direkt durch z.b. Phishing anzusprechen, versuchen sie Zugang zu Konten bei Domainregistraren zu erhalten, was sie in die Lage versetzt direkt die DNS-Anbieter zu manipulieren. Dort können sie dann relativ einfach die DNS-Einstellungen eines Unternehmens manipulieren und damit erheblichen Schaden anrichten. Durch die Änderung von DNS-Einträgen für interne Server leiten sie den Datenverkehr für legitime Anwendungen oder Webmail-Dienste eines Unternehmens um auf geklonte Server. Dort können sie dann ziemlich einfach Man-in-the-Middle-Angriffe durchführen und Anmeldeinformationen abfangen.

DNS-Hijacking: Angriffe sind kurzlebig & unglaublich schwer zu erkennen.

Da die meisten Unternehmen nicht auf Änderungen an DNS-Einstellungen achten, sind sie meist ein leichtes Ziel. Sie erkennen den Angriff entweder durch Zufall oder eben einem externen Hinweis. Berichte über die Aktivitäten dieser Hackergruppe wurden schon von FireEye, Crowdstrike und Cisco Talos veröffentlicht. FireEye führte die Angriffe auf einen Nexus der iranischen Regierung zurück, während Crowdstrike und Cisco Talos noch keine Zuschreibung für die Angriffe machten. Auch die US DHS und UK NCSC Agenturen haben mittlerweile Sicherheitswarnungen über die neuartigen Taktiken der Sea Turtle Gruppe herausgegeben.

Eine gefährliche Hacker Gruppe, die auch vor großen Zielen nicht zurückschreckt.

MoneyTaker HackerWie aus den oben erwähnten Berichten hervorgeht, hackt die Sea Turtle Gruppe normalerweise Konten bei Domainregistraren und den dazugehörigen DNS-Providern. Konten, die ihren Angriffszielen gehören und die sie dann zur Verwaltung von DNS-Einträgen für verschiedene Server und Dienste verwendeten.

Sea Turtle hat sich noch nie davor gescheut auch große Dienstanbieter zu hacken, um das zu bekommen, was sie wollten – nämlich die DNS-Einstellungen der Server eines Zielunternehmens zu manipulieren, was auch durch Cisco Talos neuestem Bericht wieder bestätigt wird.

Beitragbild Elchinator, thx! (Pixabay Lizenz)

Tarnkappe.info

Sunny

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.