Die Internet-Verwaltung ICANN hat Berichte des US-Heimatschutzministeriums bestätigt, wonach Kernteile der Infrastruktur des Domain Name Systems (DNS) angegriffen wurden. Die Angriffe dauern an, und wer dahinter steckt, ist derzeit unklar.
Mitte Januar 2019 machte der US-Computerjournalist Brian Krebs publik, dass eine Entführungswelle auf das DNS zurolle. Dabei sollen die zu einer Domain gehörenden IP-Adressen ersetzt worden sein mit der Folge, dass Nutzer umgeleitet wurden; auf diesem Weg hätten die Hacker unter anderem Daten wie Log-In-Informationen von Regierungen und Unternehmen aus dem Libanon und den Vereinigten Arabischen Emiraten erbeuten können, so dass sie Kontrolle über DNS-Server erlangten und Traffic umleiten konnten. Zudem konnten sie SSL-Zertifikate für die gekaperten Domains wie webmail.finance.gov.lb erlangen, so dass sie abgefangene eMails entschlüsseln konnten. Praktisch zeitgleich erlies die Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums eine seltene Notfalldirektive, in der alle Zivilbehörden unter anderem angewiesen wurden, ihre Log-In-Daten für DNS-Einträge zu sichern und Passwörter zu ändern. Das Ausmaß der Angriffe war dabei ebenso unbekannt wie die ausführenden Personen oder Organisationen.
Nach einer ersten Meldung vom 15. Februar 2019, die Veröffentlichungen verfolgt zu haben, hat ICANN nun am 22. Februar 2019 auch die Angriffe bestätigt. Man glaube, dass ein anhaltendes und ernstes Risiko für Schlüsselteile der DNS-Infrastruktur bestehe. Als Schwachstelle hat ICANN Domain-Namen ausgemacht, die nicht durch Domain Name System Security Extensions (DNSSEC) gesichert sind. Bei DNSSEC handelt es sich um eine Reihe von Internetstandards, die das DNS um Sicherheitsmechanismen zur Gewährleistung der Authentizität und Integrität der Daten erweitern. Die spezifischen »man in the middle«-Attacken hätten laut ICANN nur dort Erfolg, wo DNSSEC nicht eingesetzt werde; zugleich räumte die Netzverwaltung aber ein, dass DNSSEC nicht gegen alle Arten von Attacken schütze. John Crain, Chief Security, Stability and Resiliency Officer bei ICANN, empfahl neben der Aktivierung von DNSSEC den Einsatz von »Registry Lock«, um unbefugte Änderungen an DNS-Einträgen zu verhindern. Weitere Schutzmechanismen wie Zugangskontrolllisten oder Zwei-Faktor-Authentifizierung dürften ebenfalls helfen, sind jedoch in der Praxis wegen ihrer Komplexität unbeliebt.
Nach Angaben des US-Sicherheitsunternehmens FireEye lässt sich das Ausmass der Angriffe noch nicht abschätzen, betroffen sein sollen aber mehrere Dutzende Domains aus Nordamerika, Europa, dem Mittleren Osten und Nordafrika. Auf Grundlage der verwendeten IP-Adressen gehe man zudem davon aus, dass die Hacker eine Verbindung zum Iran hätten; gesicherte Informationen liegen jedoch derzeit nicht vor. Die holländische Registry SIDN schloss bereits aus, dass .nl von den Angriffen betroffen sei.