Aktueller Channel Fokus:

Gaming & eSports

Cisco Talos beschreibt „Sea Turtle“

Staatlicher Angriff auf das DNS-System

| Autor / Redakteur: Dirk Srocke / Andreas Donner

Sea Turtle heißt Meeresschildkröte – und die schwimmt offenbar immer noch.
Sea Turtle heißt Meeresschildkröte – und die schwimmt offenbar immer noch. (Bild: © Henner Damke - stock.adobe.com)

Forscher von Cisco Talos haben Details zu einem mutmaßlich staatlich organisierten Angriff auf das DNS-System zusammengetragen. Die „Sea Turtle“ getaufte Kampagne läuft bereits seit 2017 und ist offenbar immer noch nicht ausgestanden.

Gefahr erkannt, aber noch lange nicht gebannt: In einem Blogbeitrag berichten Sicherheitsexperten der Cisco Talos Intelligence Group von einem Angriff auf das DNS-System. Seit Januar 2017 werden Internetnutzer demnach auf Server umgeleitet, die als „Man in the Middle“ agieren und Daten abschöpfen – das betrifft nicht nur Webseiten, sondern auch E-Mail- und VPN-Dienste.

Um sich als legitimer Rechner auszugeben, nutzen die Angreifer dabei Techniken, wie „Certificate Impersonation“ – lassen sich also von einer alternativen Stelle Zertifikate für die angegriffenen Server ausstellen. Die eigentliche Attacke setzt freilich noch früher an.

Den Forschern zufolge gibt es vier mögliche Wege, DNS-Einträge zu manipulieren. Da die Experten einen direkten Angriff auf Root-Server ausschließen, bleiben davon noch drei Angriffsarten übrig: über Zugangsdaten des Registranten, Manipulationen beim Extensible Provision Protocol (EPP) oder Attacken auf die Registries selbst.

Für die Angriffe wurden offenbar bekannte Sicherheitsschwachstellen ausgenutzt. Vordergründiges Ziel waren Organisationen im Nahen Osten und in Nordafrika. So hatten die Angreifer etwa die Kontrolle über Länderdomänen, wie .sa (Saudi Arabien); mindestens 40 öffentliche und private Einrichtungen seien angegriffen worden.

Hinter „Sea Turtle“ vermuten die Experten einen staatlichen Akteur, der sich vor einer Verfolgung sicher wähne. Dafür spreche etwa, dass die Kampagne auch mit Bekanntwerden erster Aspekte nicht gestoppt wurde. Mit den kürzlich als DNSpionage bekannt gewordenen Attacken habe der jetzt beschriebene Angriff aber vermutlich nichts zu tun.

Der Erfolg von „Sea Turtle“ gründe sich unter anderem darauf, dass klassische Systeme für Intrusion Detection sowie Intrusion Prevention (IDS/IPS) nicht für Überwachung und Login von DNS-Anfragen entworfen worden seien. Um sich vor entsprechenden Angriffen zu schützen empfiehlt Cisco Talos die Nutzung eines „Registry Lock Service“ – bei dem Änderungen an DNS-Einträgen über einen zusätzlichen Kommunikationskanal vom Registranten bestätigt werden müssen. Alternativ empfehle sich die Verwendung einer Lösung zur Mehrfaktor-Authentifizierung. Überdies könnten Administratoren über ein Passive-DNS-Monitoring Anomalien feststellen.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45944462 / Security)