DNS-Hijacking
Die Kampagne weist einige einzigartige Merkmale auf. So führten die Angreifer erstmals DNS-Hijacking auf DNS-Registrierungsstellen-Level aus. Bei diesen Attacken gingen sie sehr aggressiv vor, inklusive Verwaltungsorganisationen von Country-Code-Top-Level-Domains. Um Anmeldeinformationen zu erhalten, verwendeten die Angreifer in ihren Man-in-the-Middle-Angriffen Let’s Encrypts, Comodo, Sectigo und selbstsignierte Zertifikate. Zugang auf die Netzwerke der DNS-Registrare erhielten sie durch die Ausnutzung bekannter Schwachstellen oder den Versand von Spear-Phishing-E-Mails. Anschließend stahlen sie legitime SSL-Zertifikate. Typischerweise änderten die Angreifer die DNS-Datensätze staatlicher Organisationen und Energieversorger und leiteten alle Besucher der Websites auf einen bösartigen DNS-Server um. Diese Manipulation dauerte von wenigen Minuten bis zu mehreren Tagen. Bei Cisco Talos geht man davon aus, dass die Kampagne begann bereits im Januar 2017 begann und bis zum ersten Quartal 2019 dauerte.
Möglicher Schutz
Kommen die Angreifer an die Zugangsdaten, lässt sich der Angriff praktisch nicht verhindern, bis die Zugangsdaten gesperrt sind. Um sich davor zu schützen empfiehlt das Talos-Team eine Bestätigung über einen anderen Kommunikationskanal, um Änderungen am DNS-Eintrag einer Organisation vorzunehmen. Falls der Registrar einen solchen Dienst nicht anbietet, empfiehlt sich eine Multi-Faktor-Authentifizierung, um auf die DNS-Einträge des eigenen Unternehmens zu schützen. Netzwerkadministratoren können auch passive DNS-Einträge bei den von ihnen verwalteten Domains überwachen, um Unregelmäßigkeiten zu erkennen. Wer den Verdacht hat, von einem solchen Angriff betroffen zu sein, sollte ein netzwerkweites Passwort-Reset von einem vertrauenswürdigen Computer aus durchführen, raten die Experten von Cisco Talos.
