Suchen

Cisco Talos beschreibt „Sea Turtle“ Staatlicher Angriff auf das DNS-System

Autor / Redakteur: Dirk Srocke / Dipl.-Ing. (FH) Andreas Donner

Forscher von Cisco Talos haben Details zu einem mutmaßlich staatlich organisierten Angriff auf das DNS-System zusammengetragen. Die „Sea Turtle“ getaufte Kampagne läuft bereits seit 2017 und ist offenbar immer noch nicht ausgestanden.

Firmen zum Thema

Sea Turtle heißt Meeresschildkröte – und die schwimmt offenbar immer noch.
Sea Turtle heißt Meeresschildkröte – und die schwimmt offenbar immer noch.
(Bild: © Henner Damke - stock.adobe.com)

Gefahr erkannt, aber noch lange nicht gebannt: In einem Blogbeitrag berichten Sicherheitsexperten der Cisco Talos Intelligence Group von einem Angriff auf das DNS-System. Seit Januar 2017 werden Internetnutzer demnach auf Server umgeleitet, die als „Man in the Middle“ agieren und Daten abschöpfen – das betrifft nicht nur Webseiten, sondern auch E-Mail- und VPN-Dienste.

Um sich als legitimer Rechner auszugeben, nutzen die Angreifer dabei Techniken, wie „Certificate Impersonation“ – lassen sich also von einer alternativen Stelle Zertifikate für die angegriffenen Server ausstellen. Die eigentliche Attacke setzt freilich noch früher an.

Den Forschern zufolge gibt es vier mögliche Wege, DNS-Einträge zu manipulieren. Da die Experten einen direkten Angriff auf Root-Server ausschließen, bleiben davon noch drei Angriffsarten übrig: über Zugangsdaten des Registranten, Manipulationen beim Extensible Provision Protocol (EPP) oder Attacken auf die Registries selbst.

Für die Angriffe wurden offenbar bekannte Sicherheitsschwachstellen ausgenutzt. Vordergründiges Ziel waren Organisationen im Nahen Osten und in Nordafrika. So hatten die Angreifer etwa die Kontrolle über Länderdomänen, wie .sa (Saudi Arabien); mindestens 40 öffentliche und private Einrichtungen seien angegriffen worden.

Hinter „Sea Turtle“ vermuten die Experten einen staatlichen Akteur, der sich vor einer Verfolgung sicher wähne. Dafür spreche etwa, dass die Kampagne auch mit Bekanntwerden erster Aspekte nicht gestoppt wurde. Mit den kürzlich als DNSpionage bekannt gewordenen Attacken habe der jetzt beschriebene Angriff aber vermutlich nichts zu tun.

Der Erfolg von „Sea Turtle“ gründe sich unter anderem darauf, dass klassische Systeme für Intrusion Detection sowie Intrusion Prevention (IDS/IPS) nicht für Überwachung und Login von DNS-Anfragen entworfen worden seien. Um sich vor entsprechenden Angriffen zu schützen empfiehlt Cisco Talos die Nutzung eines „Registry Lock Service“ – bei dem Änderungen an DNS-Einträgen über einen zusätzlichen Kommunikationskanal vom Registranten bestätigt werden müssen. Alternativ empfehle sich die Verwendung einer Lösung zur Mehrfaktor-Authentifizierung. Überdies könnten Administratoren über ein Passive-DNS-Monitoring Anomalien feststellen.

(ID:45944462)