Sea Turtle – organisierte DNS-Hacker kontrollieren über Jahre das Herz des Internets

Das Domain Name System (DNS) ist das „Telefonbuch des Internets“ und vom korrekten Ablauf hängt viel Vertrauen ab, das Regierungen, Unternehmen, Entwickler und nicht zuletzt die User in diese Grundfunktion des Internets setzen.

Im DNS werden die IP-Adressen von Webservern mit den lesbaren Web-Adressen verknüpft und weitergeleitet. Gibt ein User „www.youtube.com“ ein, ordnet der DNS diesem Namen zum Beispiel die IP-Adresse 199.223.232.0 zu und schickt die Anfrage zum richtigen Server weiter.

DNS-Angriffskampagne attackiert öffentliche und private Einrichtungen

Man ist sich natürlich im Klaren, dass das DNS ein lohnendes Ziel für Angreifer ist, allerdings ist man davon ausgegangen, dass man solche Angriffe relativ gut abwehren kann, bis Talos – eine Sicherheitsgruppe von Cisco – Mitte April einen Blogpost veröffentlichte.

Demzufolge gibt es eine aktuelle Angriffskampagne auf das DNS, die öffentliche und private Einrichtungen, inklusive Geheimdiensten, attackiert. Talos bezeichnet die Kampagne als „Sea Turtle“ und glaubt, dass der Angriff bereits im Januar 2017 startete und immer noch anhält. Sea Turtle attackiert über 40 Organisationen in 13 Ländern, vornehmlich im Nahen Osten und Nordafrika.

Bild: talosintelligence.com

Alles fängt mit Phishing an

Die Angreifer gehen per „DNS Hijacking“ vor, bei dem sie unbemerkt die IP-Adresse ändern und den Besuch auf eine komprimierte Webseite schicken. Hier werden dann per klassischem Phishing gefälschte Login-Seiten dargestellt, auf denen Login-Daten wie Email-Adressen und Passwörter mitgelesen werden.

Neben den eigentlichen Opfern, wie den Behörden, Geheimdiensten und Unternehmen, zählt noch eine weitere Gruppe zu den Zielen: Telekommunikationsunternehmen, Provider und DNS-Registrare – also alles Unternehmen, die direkten Zugriff auf das DNS haben. Das erscheint logisch, da die Angreifer vor dem eigentlichen Ziel erst noch Zugang zum DNS benötigen.

Eine staatliche Organisation als Strippenzieher?

So hat Talos entdeckt, dass ein Angriff Ende März auf die schwedische Beratungsfirma Cafax gerichtet war. Das Unternehmen kümmert sich im Auftrag um das NetNod-Network und dessen DNS. Aufgrund des Aufwands und des professionellen Vorgehens geht Talos davon aus, dass hinter dem Angriff eine staatliche Organisation steht.

Dieser doppelte Aufwand sieht im Einzelnen so aus: Die Hacker verschaffen sich Zugang zum Netzwerk des DNS-Unternehmens oder sie bringen einen Mitarbeiter dazu, seine Zugangsdaten in ein Phishing-Formular einzugeben. Diese „Man-in-the-Middle“-Attacke ist bei bewusst gewählten Zielen schon aufwendig genug. Ist der Angriff erfolgreich haben die Hacker jetzt Zugriff auf die DNS-Registry.

Durch einen „update“-Befehl nehmen die Angreifer den gekaperten DNS unter ihre Kontrolle. Jetzt warten sie darauf, dass das eigentliche Opfer die URL der gewünschten Webseite aufruft. Passiert das, schickt das DNS einen modifizierten Registry-Eintrag, der das Ziel auf die gefälschte Webseite lenkt. Das Opfer gibt seine Zugangsdaten ein, die vom Angreifer mitgelesen und in eine Datenbank gespeichert werden.

Anschließend wird das Opfer an die legitime Login-Seite weitergeleitet, wo alles seinen normalen Gang geht – von der Attacke bekommt er nichts mit. Der Angreifer kann sich jetzt allerdings als das Opfer ausgeben.

„Sea Turtle“ blieb zwei Jahre lang unentdeckt

Solche aufwendigen Attacken sind im Großen und Ganzen natürlich nicht ungewöhnlich, es verblüfft allerdings, dass „Sea Turtle“ über zwei Jahre unentdeckt bleiben konnte. Erst im Februar 2019 warnt etwa das Department of Homeland Security in den USA auf ihrer Webseite vor einer DNS-Hijacking-Kampagne.

Kritik am derzeitigen DNS-System wird immer mal wieder laut, weil DNS-Hijacking von Regierungen auch bewusst eingesetzt wird, um etwa politische Inhalte oder verschlüsselte Kommunikationswege zu blocken. In Deutschland hat etwa Vodafone seit 2018 verschiedene Streaming-Webseiten wie „Kinox.to“ per DNS-Hijacking in ihrem Netz geblockt.

ICANN-Sicherheitschef John Crain sieht die eigentliche Problematik in fehlenden Sicherheitsstandards bei Providern und anderen Gruppen mit Zugang zum DNS. Dazu zählen etwa auch simple Maßnahmen, wie sichere Passwörter oder Zwei-Faktor-Authentifizierung, die vielerorts auch im professionellen Umfeld noch nicht zum Standard zählen. Es gibt auch wirksame Software und Tools, die etwa vor Phishing-Attacken schützen – allerdings müssen diese auch genutzt werden.