Globale DNS-Hijacking-Welle beunruhigt Schweizer Behörden

Melani schaut genau hin, denn es gibt Opfer. Wenn auch noch nicht in der Schweiz.
 
Gegenwärtig ist weltweit eine grosse Welle von Cyberattacken auf Unternehmen und insbesondere Behörden mittels DNS Hijacking im Gang. Das Security-Unternehmen FireEye beschrieb das Vorgehen der Angreifer schon vor drei Wochen. Die US-Securitybehörde US-Cert reagierte zuerst nur mit einem sehr knapp gehaltenen Alert.
 
Mittlerweile sind aber anscheinend einige US-Behörden Opfer des Angriffs geworden. Das Departement of Homeland Security hat daher letzte Woche eine dringliche Verordnung erlassen. Darin werden US-Behörden aufgefordert, innerhalb von zehn Tagen ihre DNS Records zu überprüfen und falls nötig zu korrigieren. Zudem sollen alle Passwörter für Accounts bei Registraren und anderen Systemen, in welchen DNS-Daten geändert werden können, geändert werden und Multifaktor-Authentisierung eingeführt werden.
 
Danach warnte auch die britische Security-Behörde NCSC vor den Angriffen. Und auch die Schweizer Melde- und Analysestelle Informationssicherung (Melani) ist an der Sache dran, wie sie uns mitteilte. Man beobachte die Angriffs-Kampagne seit längerer Zeit und steht diesbezüglich in Kontakt mit in- und ausländischen Partnern, erklärte uns der stellvertretende Melani-Leiter Max Klaus. Zudem habe man über "die bewährten Kanäle" bereits Warnungen abgesetzt und Empfehlungen abgegeben.
 
Ausserdem, so Klaus, biete GovCERT.ch, die technische Abteilung von Melani, im Zusammenhang mit dieser Kampagne gewisse Dienstleistungen für die Betreiber schweizerischer kritischer Infrastrukturen an.
 
Aufgrund der vorliegenden Informationen gebe es momentan jedoch keine Hinweise auf potenzielle Opfer in der Schweiz. Melani beobachte die Lage und insbesondere die Entwicklung der Angriffsmuster laufend und werde im Bedarfsfall weitere Empfehlungen an die Betreiber schweizerischer kritischer Infrastrukturen abgeben.
 
Hijacking ermöglicht Man-in-the-middle-Angriffe
FireEye vermutet die Hintermänner der Angriffe im Iran, hat dafür aber nur Indizien, keine konkreten Beweise. Für ihre "DNS-Entführungen" verwenden die Angreifer Logins für DNS-Management-Systeme, zum Beispiel bei Registraren, die ihnen in die Finger geraten sind. Wie sie daran kamen, wird in den Angriffsanalysen nicht erklärt.
 
Einmal eingeloggt, können die Angreifer DNS-Einträge ändern und sich legitime Zertifikate für Domains eines Opfers ausstellen lassen. FireEye beschreibt im eingangs erwähnten Blogeintrag, wie die Angreifer durch Manipulationen von DNS A- und DNS NS-Einträgen Man-in-the-Middle-Attacken fahren und den Traffic zu einer Domain über einen eigenen Server umleiten können. Den Angreifern können so zum Beispiel Logins für Mailaccounts in die Hände fallen. User haben kaum eine Möglichkeit, dies zu bemerken. (Hans Jörg Maron)