ExpertenTerrorismus

Hacker des iranischen Regimes übernehmen weltweit das DNS

NWRI-

Server für Domänennamen (DNS = Domain Name System) sind so etwas wie das Adressbuch im Internet. Die DNS Server erlauben es, von Menschen lesbare Namen zu gebrauchen, um Zugang zu Websites  zu bekommen, indem sie diese Namen in IP Adressen übersetzen, die den Zugang zu den Websites ermöglichen. Der DNS Server dient als Übersetzer zwischen Hostnamen und IP Adresse.

In einem Bericht, der am Donnerstag veröffentlicht wurde, hat der Sicherheitsgigant für Sicherheit im Netz  FireEye erklärt, dass eine neue Serie von Angriffen zur Übernahme der DNS identifiziert worden ist, die „Verbindung zum Iran“ haben. Forscher zur Sicherheit sagen, dass die Angriffe erfolgreich Organisationen in der ganzen Welt ins Visier genommen haben.

Indem sie die Server für Domänennamen übernehmen, kompromittieren („enttarnen“) die Hacker die zugrunde liegende Technologie, die die Funktionen im Internet dirigiert, und beuten Schwächen bei den Domänennamen für die Seiten aus. Eine Übernahme eines DNS erlaubt es Hackern, sich zwischen die betreffende Internetseite und jeden Benutzer der Seite einzuschalten und alle Informationen über die Seite zu sammeln. Diese Information gibt dem Angreifer Zugang zu den Emails des Benutzers – und einen Eingang in das eigene Netz des Benutzers.

Domänen von Regierungen, Telekommunikationsunternehmen und die Infrastruktur des Internets im Vorderen Orient, Nordafrika, Europa und Nordamerika wurden kompromittiert, weil DNS-Daten ausgetauscht wurden, um Benutzer auf Domänen zu leiten, wo die vertraulichen Email-Daten gestohlen wurden.

Der Gigant für Sicherheit im Netz FireEye hat Aktivitäten erstmals im Januar 2017 bemerkt und jetzt drei Angriffsmethoden beobachtet:

  1. Die Benutzung von kompromittierten Login-Daten zur Administration des DNS Providers mit dem Ziel, die DNS Datensätze zu ändern.
  2. Ausbeutung eines kompromittierten Registrierungsunternehmens oder ccTLD, um Datensätze auf DNS Namensservern abzuändern.
  3. Eine Kombination von beidem, um legitime IP Adressen für Benutzer außerhalb der betroffenen Domänen zurückzugeben.

Laut FireEye ist „eine große Zahl“ von DNS/SSL Zertifizierungsfirmen von diesen Angriffen betroffen, darunter telcos, ISPs, Provider für die Infrastruktur und Regierungen.

„Es ist schwierig, einen einzelnen Vorgang des Eindringens mit jeder Änderung eines Datensatzes zu identifizieren,  und es ist möglich, dass der Akteur oder die Akteure verschiedene Techniken benutzen, um bei allen genannten Zielobjekten Fuß zu fassen“, so wird das erläutert.

„Nachrichtendienstliche Kunden von FireEye haben Berichte erhalten, die ausgeklügelte Phishing Angriffe beschreiben, die ein Akteur ausgeführt hat, der auch DNS Datensätze manipuliert. Außerdem glauben wir, dass mindestens einige Datensätze verändert wurden, indem das Konto der Benutzers beim Registrierungsunternehmen kompromittiert wurde, wobei der genaue Mechanismus unbekannt ist“.

Der Typ der Organisationen und Benutzer, die von der Cyber-Spionage angezielt wurde, ist unklar, aber FireEye denkt, dass dazu „Regierungen im Nahen Osten gehören, deren geheime Informationen für das iranische Regime von Interesse sind und die relativ geringen finanziellen Wert haben“.

Die Angreifer haben IP-Adressen benutzt, die vorher mit Razzien des iranischen Regimes in Verbindung standen, deshalb ist sich FireEye sicher, dass es die Kampagne Teheran zuschreiben kann.