
klassischem Phishing gefälschte Login-Seiten dargestellt, auf denen Login-Daten wie Email-Adressen und Passwörter mitgelesen werden.
Neben den eigentlichen Opfern, wie den Behörden, Geheimdiensten und Unternehmen, zählt noch eine weitere Gruppe zu den Zielen: Telekommunikationsunternehmen, Provider und DNS-Registrare – also alles Unternehmen, die direkten Zugriff auf das DNS haben. Das erscheint logisch, da die Angreifer vor dem eigentlichen Ziel erst noch Zugang zum DNS benötigen.
So hat Talos entdeckt, dass ein Angriff Ende März auf die schwedische Beratungsfirma Cafax gerichtet war. Das Unternehmen kümmert sich im Auftrag um das NetNod-Network und dessen DNS. Aufgrund des Aufwands und des professionellen Vorgehens geht Talos davon aus, dass hinter dem Angriff eine staatliche Organisation steht.
Dieser doppelte Aufwand sieht im Einzelnen so aus: Die Hacker verschaffen sich Zugang zum Netzwerk des DNS-Unternehmens oder sie bringen einen Mitarbeiter dazu, seine Zugangsdaten in ein Phishing-Formular einzugeben. Diese „Man-in-the-Middle“-Attacke ist bei bewusst gewählten Zielen schon aufwendig genug. Ist der Angriff erfolgreich haben die Hacker jetzt Zugriff auf die DNS-Registry.
Durch einen „update“-Befehl nehmen die Angreifer den gekaperten DNS unter ihre Kontrolle. Jetzt warten sie darauf, dass das eigentliche Opfer die URL der gewünschten Webseite aufruft. Passiert das, schickt das DNS einen modifizierten Registry-Eintrag, der das Ziel auf die gefälschte Webseite lenkt. Das Opfer gibt seine Zugangsdaten ein, die vom Angreifer mitgelesen und in eine Datenbank gespeichert werden.
Anschließend wird das Opfer an die legitime Login-Seite weitergeleitet, wo alles seinen normalen Gang geht – von der Attacke bekommt er nichts mit. Der Angreifer kann sich jetzt allerdings als das Opfer ausgeben.
Solche aufwendigen Attacken sind im Großen und Ganzen natürlich nicht ungewöhnlich, es verblüfft allerdings, dass „Sea Turtle“ über zwei Jahre unentdeckt bleiben konnte. Erst im Februar 2019 warnt etwa das Department of Homeland Security in den USA auf ihrer Webseite vor einer DNS-Hijacking-Kampagne.
Kritik am derzeitigen DNS-System wird immer mal wieder laut, weil DNS-Hijacking von Regierungen auch bewusst eingesetzt wird, um etwa politische Inhalte oder verschlüsselte Kommunikationswege zu blocken. In Deutschland hat etwa Vodafone seit 2018 verschiedene Streaming-Webseiten wie „Kinox.to“ per DNS-Hijacking in ihrem Netz geblockt.
ICANN-Sicherheitschef John Crain sieht die eigentliche Problematik in fehlenden Sicherheitsstandards bei Providern und anderen Gruppen mit Zugang zum DNS. Dazu zählen etwa auch simple Maßnahmen, wie sichere Passwörter oder Zwei-Faktor-Authentifizierung, die vielerorts auch im professionellen Umfeld noch nicht zum Standard zählen. Es gibt auch wirksame Software und Tools, die etwa vor Phishing-Attacken schützen – allerdings müssen diese auch genutzt werden.