Sea Turtle: Cisco Talos deckt DNS Hijacking-Kampagne auf

Die Welle der Domain-Hijacking-Angriffe, die das Internet in den letzten Monaten getroffen haben, ist schlimmer als bisher angenommen. Sowohl Cisco Talos als auch FireEye legen entsprechende Berichte vor, die besagen, dass staatlich geförderte Akteure trotz des wachsenden Aufmerksamkeit weiterhin wichtige Infrastrukturen angreifen.

Cisco Talos deckt Sea Turtle auf

Am 17. April 2019 veröffentlichte Cisco Talos den Blog-Beitrag DNS Hijacking Abuses Trust In Core Internet Service, der Licht in die Domain-Hijacking-Angriffe per DNS bringt und Fragen, ob den Internet-Basis-Diensten noch vertraut werden kann, aufwirft.

Cisco Talos hat eine neue Cyber-Bedrohungskampagne entdeckt, die sie „Sea Turtle“ nennen. Diese zielt auf öffentliche und private Einrichtungen, einschließlich nationaler Sicherheitsorganisationen, die hauptsächlich im Nahen Osten und Nordafrika ansässig sind.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

Die Kampagne begann voraussichtlich bereits im Januar 2017 und dauerte bis zum ersten Quartal 2019. Die Cisco Talos Untersuchung ergab, dass mindestens 40 verschiedene Unternehmen in 13 verschiedenen Ländern während dieser Kampagne gefährdet waren. Cisco Talos ist sich recht sicher, dass diese Angriffe von einem fortgeschrittenen, staatlich geförderten Akteur durchgeführt werden, der einen dauerhaften Zugang zu sensiblen Netzen und Systemen anstrebt.

Die Akteure hinter dieser Kampagne haben sich darauf konzentriert, DNS-Hijacking als Mechanismus zur Erreichung ihrer Endziele zu nutzen. DNS-Hijacking tritt auf, wenn der Akteur DNS-Namensaufzeichnungen illegal ändern kann, um Benutzer auf von Akteuren kontrollierte Server zu verweisen. Das US Department of Homeland Security (DHS) warnte am 24. Januar 2019 vor dieser Aktivität. Ein Angreifer kann die Benutzer beim Besuch von Internetseiten umleiten und könnte sogar gültige Verschlüsselungszertifikate für die Domainnamen einer Organisation erhalten.

In der Sea Turtle-Kampagne konnten Talos zwei verschiedene Gruppen von Opfern identifizieren.

  • Die erste Gruppe, die die Sicherheitsspezialisten als Hauptopfer identifizieren, umfasst nationale Sicherheitsorganisationen, Außenministerien und führende Energieorganisationen. Der Angreifer richtete sich an Drittunternehmen, die Dienstleistungen für diese primären Unternehmen erbringen, um Zugang zu erhalten.
  • Zu den Zielen, die in die Kategorie der sekundären Opfer fallen, gehören zahlreiche DNS-Registrare, Telekommunikationsunternehmen und Internet Service Provider.

Einer der bemerkenswertesten Aspekte dieser Kampagne war, wie sie in der Lage waren, DNS-Hijacking ihrer Hauptopfer durchzuführen, indem sie sich zunächst auf diese Drittanbieter konzentrierten. Das passt möglicherweise auch zu dem von mir im Blog-Beitrag Indischer Outsourcing-Gigant Wipro gehackt? beschriebenen Vorfall. Weitere Informationen lassen sich im Talos-Beitrag oder bei Arstechnica nachlesen.

FireEye beobachtet Manipulationen von DNS-Einträgen

Heute ist mit von den Sicherheitsspezialisten von FireEye noch eine weitere Information zugegangen. Auch FireEye beobachtet derzeit mehrere Aktivitäten, die für die Manipulation von DNS-Einträgen verantwortlich sind. Auf einige dieser Aktivitäten haben die Sicherheitsspezialisten im Blog-Beitrag vom 9. Januar 2019 hingewiesen. Dazu schreibt FireEye:

Wir gehen davon aus, dass ein kleiner Teil dieser Aktivitäten vermutlich von einem iranischen Akteur durchgeführt wird. Dabei nutzt der Akteur Malware, die wir bei FireEye TWOTONE nennen – bei TALOS DNSpionage genannt.

Die Spezialisten von FireEye vermuten jedoch, dass andere Akteure – und eventuell andere Staaten – hinter weiteren Bedrohungen durch DNS-Manipulation stehen, die nicht in diesem Zusammenhang stehen. Einige dieser Aktivitäten wurden bereits im Januar 2019 in oben verlinktem Blog-Beitrag vorgestellt. Die Spezialisten von FireEye glauben, dass diese Aktivität die Verwendung gestohlener EPP-Anmeldeinformationen beinhaltete und wahrscheinlich staatlich finanziert wurde. EPP ist ein zugrundeliegendes Protokoll, das zur Verwaltung von DNS-Systemen verwendet wird.

Diese Akteure manipulieren erfolgreich DNS-Einträge auf Registrierungsebenen, obwohl FireEye bisher nicht direkt beobachten konnte, wie ccTLD-Einträge geändert werden. Die Änderung dieser Datensätze könnte es Angreifern ermöglichen, den Datenverkehr an die Infrastruktur des Akteurs umzuleiten, zu entschlüsseln, aufzuzeichnen und an das gewünschte Ziel weiterzuleiten. Ein Akteur könnte die Betroffenen auch auf Malware umleiten oder durch Anfragen einen Denial-of-Service-Angriff starten.

Diese Vorfälle können sehr schwer zu erkennen sein, da der Nachweis von Datensatzänderungen und SSL-Zertifikaten außerhalb eines traditionellen Unternehmensnetzwerks liegt und die Sicherheit dieser Systeme bei einem Drittanbieter gehostet werden.

Abgesehen von einem möglichen iranischen Akteur und einem weiteren, im Blog-Beitrag vom Januar 2019 beschriebenen, Akteur, beobachtet FireEye zudem Hijacking-Aktivitäten, von denen die Sicherheitsspezialisten vermuten, dass sie mit völlig unterschiedlichen Akteuren zusammenhängen.

So wurde beispielsweise bei einem Vorfall in Israel im März 2019 DNS-Manipulation eingesetzt. Dabei übernahm der Akteur die Domain eines Drittanbieter-Plugins, das auf israelischen Websites weit verbreitet ist, um Ransomware zu verbreiten. Der Zustellmechanismus schlug fehl, allerdings wurden die Benutzer auf eine Seite umgeleitet, die eine politische Botschaft anzeigte.

Die Sicherheitsforscher haben diese Methode bereits bei vielen unterschiedlichen Akteuren beobachtet, oft mit dem Ziel von Spionage, Kriminalität, Hacktivismus oder anderen Motiven. FireEye geht davon aus, dass in naher Zukunft mehr Akteure diese Methode nutzen werden. Auch wenn sich ein Großteil der von TALOS beschriebenen Aktivitäten auf den Nahen Osten und Nordafrika konzentriert, gibt es keinen Grund anzunehmen, dass die DNS-Manipulation auf eine bestimmte Region beschränkt bleibt.

Man könnte es auch platter ausdrücken: Im Internet brennt derzeit die Hütte – wenn die DNS-Struktur nicht mehr vertrauenswürdig ist, kann nichts mehr im Internet sicher abgewickelt werden. Weder Datenspeicherung in der Cloud, Datenübertragung, Banking und was weiß ich. Wir müssen davon ausgehen, dass alle Internetverbindungen umgeleitet werden können. Statt auf der gewünschten Webseite zu surfen, wird alles über einen Akteur umgeleitet, der das im besten Fall mitliest, im schlimmsten Fall manipuliert. 

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Sea Turtle: Cisco Talos deckt DNS Hijacking-Kampagne auf

  1. oli sagt:

    Praxis-Problem bei der Einführung von DNSSEC+Validierung (was ja gegen obiges DNS-Hijacking helfen könnte, wenn die Domains denn DNSSEC-signiert sind…):

    Hab vor kurzem in einem kleinen Windows Netz die DNSSEC-Signierung der internen Domain ausgerollt. Zusätzlich die DNSSEC-Validierung für externe Domains im Windows DNS-Server aktiviert und eine über eine Namensauflösungsrichtlinie (NRPT) forcierte DNSSEC-Validierung für die interne Domain. Nach der Aktivierung der DNSSEC-Namensrichtlinie dauert das Booten von Windows 10 (1709+1809 getestet) 3x so lang („Bitte warten“-Meldung wird über 1min angezeigt, wo es sonst vlt nur 15-20sek angezeigt wurde). Die Bootzeit von Windows 7 scheint unbeeindruckt davon zu sein.

    In der Ereignisanzeige wird angezeigt, dass „der Anmeldebenachrichtigungsabonnent 67 Sekunden benötigt, …“ (Quelle Logon) und der Dienst „Netzwerkkonnektivitäts-Assistent“ (NCASVC) beendet wurde (Anforderung wird nicht unterstützt). Der Netzwerkkonnektivitäts-Assistent ist ja für DirectAccess zuständig (noch nicht mit beschäftigt), was wir aber gar nicht nutzen. Vielleicht ist dieser aber auch für die NRPTs zuständig, ka, auf jeden Fall steht der Dienst auf „manuell“ und wenn man ihn mit „start-service ncasvc“ startet, kommt da nur ne „OpenError“-Meldung.

    Nehm ich die Namenrichtliniefür die DNSSEC-Validierung raus, booten die Windows 10 Rechner wieder normal schnell und obige Fehlermeldungen sind auch weg.

    Hier tummeln sich ja einige Windows-Admins. Vielleicht hat ja einer ne Idee, woran das liegen kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert