Haben Sie bereits einen Account?

  •   Personalisierte Inhalte
  •   Ihre Produkte und Ihr Support

Benötigen Sie einen Account?

Einen Account erstellen

Cisco entdeckt neuartige Angriffsmethode

  • Erstmals DNS-Einträge bei Registraren manipuliert
  • Besucher von Websites staatlicher Organisationen umgeleitet
  • Nutzer können den Betrug nur schwer erkennen

Wallisellen, 18. April 2019 – Cisco Talos hat eine neuartige Angriffsmethode entdeckt. Darüber spionierten Cyberkriminelle u.a. Registrierungsstellen für Domain-Namen aus. Mit den gestohlenen Anmeldeinformationen waren sie in der Lage, weitere Attacken gegen staatliche Organisationen und andere hochrangige Ziele erfolgreich auszuführen, deren Website-Besucher wurden auf gespiegelte Seiten umgelenkt, um an sensible Daten zu gelangen. Die Opfer konnten den Betrug nur schwer erkennen.

Die von Cisco Talos entdeckte und «Sea Turtle» genannte Angriffskampagne richtete sich gegen mindestens 40 öffentliche und private Einrichtungen. Dazu gehörten nationale Sicherheitsorganisationen, Aussenministerien und grosse Energieversorger aus 13 Ländern, vorwiegend aus dem Nahen Osten und Nordafrika. Um Zugang zu diesen Opfern zu erhalten, wurde zuerst eine Reihe von Drittunternehmen angegriffen, die Dienstleistungen für diese Organisationen erbringen. Darunter befanden sich DNS-Registrare, Telekommunikationsunternehmen und Internet Service Provider.

Diese Attacken wurden wahrscheinlich von einem staatlich geförderten Akteur durchgeführt, der einen dauerhaften Zugang zu sensiblen Netzen und Systemen erhalten wollte. Er setzte die Kampagne sogar fort, obwohl bereits verschiedene Aspekte der Aktivitäten öffentlich bekannt waren. In der Regel stoppen oder reduzieren Cyberkriminelle ihre Aktivitäten, sobald darüber berichtet wird. So deutet auch dieses Verhalten auf einen staatlichen Akteur hin, der sich vor Verfolgung sicher zu sein scheint und sich kaum abschrecken lässt.

Neuartige Methoden

Die «Sea Turtle»-Kampagne weist einige einzigartige Merkmale auf. So führten die Angreifer erstmals DNS-Hijacking auf DNS Registrierungsstellen Level aus. Sie waren sehr aggressiv bei diesen Attacken, inklusive Verwaltungsorganisationen von ccTLDs. Um Anmeldeinformationen zu erhalten, verwendeten sie Let's Encrypts, Comodo, Sectigo und selbstsignierte Zertifikate in ihren MitM Angriffen. Zusätzlich verfügten die Angreifer über enormes Wissen darüber, wie man DNS nutzen und wichtige Internetfunktionen manipulieren kann, in dem Sie DNS interne Protokolle wie Extensible Provisioning Protocol (EPP) zur Manipulation der DNS Einträge verwendeten.

Zugang auf die Netzwerke der DNS-Registrare erhielten sie durch die Ausnutzung bekannter Schwachstellen oder den Versand von Spear-Phishing-E-Mails. Anschliessend stahlen sie legitime SSL-Zertifikate. Typischerweise änderten die Angreifer die DNS-Datensätze staatlicher Organisationen und Energieversorger und leiteten alle Besucher ihrer Websites auf einen bösartigen DNS-Server. Diese Manipulation dauerte von wenigen Minuten bis zu mehreren Tagen. Die Kampagne begann wohl bereits im Januar 2017 und dauerte bis zum ersten Quartal 2019.

Mögliche Schutzmassnahmen

Sobald diese Zugangsdaten gestohlen wurden, lässt sich der Angriff praktisch nicht verhindern, bis die Zugangsdaten gesperrt sind. Um sich davor zu schützen, sollte eine Bestätigung über einen anderen Kommunikationskanal erforderlich sein, um Änderungen am DNS-Eintrag einer Organisation vorzunehmen. Falls der Registrar einen solchen Dienst nicht anbietet, empfiehlt sich eine Multi-Faktor-Authentifizierung, um auf die DNS-Einträge des eigenen Unternehmens zu schützen. Netzwerkadministratoren können auch passive DNS-Einträge bei den von ihnen verwalteten Domains überwachen, um Unregelmässigkeiten zu erkennen. Wer den Verdacht hat, dass er von einem solchen Angriff betroffen ist, sollte ein netzwerkweites Passwort Reset von einem vertrauenswürdigen Computer aus durchführen.

  •  

    Medienkontakt:

  • Prime, Christian Werner
  • Staffelstrasse 12
  • 8045 Zürich
  • Telefon: +41 44 261 99 32
  • Mobile: +41 79 431 30 73
  • Mail: cisco@prime.ch

Über Cisco:

Cisco (NASDAQ: CSCO) ist der weltweit führende Technologie-Anbieter, der das Internet seit 1984 zum Laufen bringt. Unsere Mitarbeitenden, Produkte und Partner helfen, die Welt zu vernetzen und die Möglichkeiten der Digitalisierung schon heute zu nutzen. Erfahren Sie mehr unter https://newsroom.cisco.com/ und folgen Sie uns auf Twitter unter @Cisco.

 

Aktuelle Nachrichten finden Sie unter:

 

https://emear.thecisconetwork.com/site/index/lang/ge/

https://gblogs.cisco.com/de/

https://www.facebook.com/CiscoSwitzerland

https://twitter.com/cisco_ch

https://www.youtube.com/user/CiscoSwitzerland


Cisco, Cisco Systems und das Cisco Systems-Logo sind eingetragene Marken oder Kennzeichen von Cisco Systems, Inc. und/oder deren verbundenen Unternehmen in den USA und in anderen Ländern. Alle anderen in diesem Dokument enthaltenen Marken sind Eigentum ihrer jeweiligen Inhaber. Die Verwendung des Wortes «Partner» bedeutet nicht, dass eine Partnerschaft oder Gesellschaft zwischen Cisco und dem jeweils anderen Unternehmen besteht. Dieses Dokument ist eine Veröffentlichung von Cisco.


Sitz der Cisco Systems (Switzerland) GmbH: Richtistrasse 7, 8304 Wallisellen; Geschäftsführer: Christian Martin