Der Hackerangriff auf das Domain Name System (DNS) Anfang des Jahres 2019 ist offenbar deutlich heftiger als bisher angenommen: nach einem Bericht von Cisco Systems dauern die Attacken unverändert an.
Mitte Januar 2019 machte der US-Computerjournalist Brian Krebs publik, dass eine Entführungswelle auf das DNS zurolle. Dabei sollen die zu einer Domain gehörenden IP-Adressen ersetzt worden sein mit der Folge, dass Nutzer umgeleitet wurden; auf diesem Weg hätten die Hacker unter anderem Daten wie Log-In-Informationen von Regierungen und Unternehmen aus dem Libanon und den Vereinigten Arabischen Emiraten erbeuten können, so dass sie Kontrolle über DNS-Server erlangten und Traffic umleiten konnten. Zudem konnten sie SSL-Zertifikate für die gekaperten Domains wie webmail.finance.gov.lb erlangen, so dass sie abgefangene eMails entschlüsseln konnten. Am 22. Februar 2019 bestätigte ICANN die Angriffe und gab an, dass ein anhaltendes und ernstes Risiko für Schlüsselteile der DNS-Infrastruktur bestehe. Als Schwachstelle hat man Domain-Namen ausgemacht, die nicht durch Domain Name System Security Extensions (DNSSEC) gesichert sind. Wie ernst der Vorfall war, zeigt, dass die Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums eine ihrer seltenen Notfalldirektiven erliess, in der alle Zivilbehörden unter anderem angewiesen wurden, ihre Log-In-Daten für DNS-Einträge zu sichern und Passwörter zu ändern.
Nach Einschätzung der Talos Security Group des US-Telekommunikationsunternehmens Cisco Systems Inc. ließen sich die Hacker mit unbekannter staatlicher Unterstützung davon aber nicht beeindrucken. Ende März 2019 soll das schwedische Beratungsunternehmen Cafax ins Visier der Hacker geraten sein. Deren einziger Berater Lars-Johan Liman arbeitet beim DNS-Provider Netnod, der wiederum mit i.root einen von 13 weltweit verteilten RootServern betreibt. Dessen Domain-Namen wurden von den Hackern entführt; so hat die Domain nsd.cafax.com zumindest zeitweise auf eine der gekaperten IP-Adressen verwiesen, ohne allerdings größere Schäden zu verursachen. Wie die Talos Security Group weiter berichtet, haben es die Hacker vor allem auf nationale Sicherheitsunternehmen, Aussenministerien und prominente Energieversorgungsunternehmen im Mittleren Osten und Nordafrika abgesehen. Cisco selbst hat 40 Organisationen in 13 Ländern ermittelt, die seit Januar 2017 von diesen Hackerangriffen betroffen waren. Namentlich erwähnt werden die folgenden Domain-Namen: mofa.gov.sy (syrisches Aussenministerium), syriatel.sy (syrischer Provider Syriatel), owa.gov.cy (Webportal der zypriotischen Regierung) und syriamoi.gov.sy (syrisches Innenministerium). Untypisch sei, dass die Angriffe auch nach ihrer Entdeckung Anfang 2019 praktisch unverändert fortgesetzt werden.
Um den Schaden der von Cisco »Sea Turtle« getauften Angriffe gutzumachen, sei weit mehr notwendig als ein Wiederherstellen der ursprünglichen Einstellungen. Sie vermuten, dass die Angreifer eine Reihe zusätzlicher Hintertüren eingebaut hätten, um auch in Zukunft in die Systeme ihrer Opfer eindringen zu können.
There has been this huge resistance to believing how bad these compromises are,
so Bill Woodcock. John Crain, der Chief Security, Stability and Resiliency Officer bei ICANN, hat neben der Aktivierung von DNSSEC den Einsatz von »Registry Lock« empfohlen, um unbefugte Änderungen an DNS-Einträgen zu verhindern. Weitere Schutzmechanismen wie Zugangskontrolllisten oder Zwei-Faktor-Authentifizierung dürften ebenfalls helfen, sind jedoch in der Praxis wegen ihrer Komplexität unbeliebt.