Die US-Regierung und eine Reihe führender Unternehmen für Informationssicherheit warnten kürzlich vor einer Reihe sehr komplexer und weit verbreiteter DNS-Hijacking-Angriffe, die es Hackern, die angeblich aus dem Iran stammen, ermöglichten, eine große Menge an E-Mail-Passwörtern und anderen sensiblen Daten von mehreren Regierungen und privaten Unternehmen zu erhalten. Bisher wurden jedoch die Einzelheiten des Geschehens und die Liste der Opfer geheim gehalten.
In diesem Artikel werden wir versuchen, das Ausmaß der Angriffe zu bewerten und diese äußerst erfolgreiche Cyberspionagekampagne von Anfang an bis zu einer Reihe von Fehlern bei wichtigen Internetinfrastrukturanbietern zu verfolgen.
Bevor Sie sich mit der Studie befassen, sollten Sie die öffentlich bekannt gegebenen Fakten überprüfen. Am 27. November 2018 veröffentlichte die Talos-Forschungseinheit von Cisco
einen Bericht, in dem eine fortschrittliche
Cyberspionagekampagne namens
DNSpionage beschrieben wurde .
DNS steht für
Domain Name System : Ein Domain Name System, das als eine Art Internet-Telefonbuch dient und praktische Website-Namen (example.com) in eine numerische Computer-IP-Adresse übersetzt.
Talos-Experten schrieben, dass Cyberkriminelle dank des DNSpionage-Angriffs E-Mail-Anmeldeinformationen von anderen Regierungsorganisationen und privaten Unternehmen im Libanon und in den Vereinigten Arabischen Emiraten erhalten konnten, indem sie die DNS-Einträge so änderten, dass der gesamte E-Mail- und VPN-Verkehr (Virtual Private Network) vorhanden war Weiterleitung an eine von Cyberkriminellen kontrollierte IP-Adresse.
Talos sagte, dass Hacker dank DNS-Hijacking SSL-Verschlüsselungszertifikate für Zieldomänen (einschließlich webmail.finance.gov.lb) erhalten konnten, mit denen sie den Datenverkehr von E-Mail-Konten und VPNs entschlüsseln konnten.
Am 9. Januar 2019 veröffentlichte der FireEye-Sicherheitsdienstleister
seinen Bericht „Die globale DNS-Erfassungskampagne: Massive Manipulation von DNS-Einträgen“, der viel mehr technische Details zur Durchführung des Vorgangs, aber nur wenige Details zu den Opfern enthält.
Etwa zur gleichen Zeit gab das US-Heimatschutzministerium eine seltene Notfallrichtlinie heraus, nach
der alle zivilen US-Bundesbehörden verpflichtet sind, ihre Zugangsdaten im Internet zu schützen. Im Rahmen dieses Mandats veröffentlichte das DHS eine kurze Liste der in der DNSpionage-Kampagne verwendeten Domainnamen und Internetadressen, obwohl die Liste nicht über das hinausging, was Cisco Talos und FireEye zuvor gemeldet hatten.
Die Situation änderte sich am 25. Januar 2019, als die Informationssicherheitsspezialisten von CrowdStrike
eine Liste fast aller IP-Adressen veröffentlichten, die heute im Hacker-Betrieb verwendet wurden. Der Rest dieser Geschichte basiert auf offenen Daten und Interviews, die wir durchgeführt haben, um mehr Licht auf das wahre Ausmaß dieses außergewöhnlichen Angriffs zu werfen, der bis heute andauert.
Passives DNS
Zu Beginn habe ich alle im CrowdStrike-Bericht genannten IP-Adressen in den Diensten
Farsight Security und
SecurityTrails überprüft, die passiv Daten zu DNS-Eintragsänderungen erfassen, die mit zig Millionen Domänen auf der ganzen Welt verbunden sind.
Durch erneutes Überprüfen dieser IP-Adressen wurde sichergestellt, dass es DNSpionage-Hackern in den letzten Monaten des Jahres 2018 gelungen ist, wichtige DNS-Infrastrukturkomponenten für mehr als 50 Unternehmen und Regierungsbehörden im Nahen Osten zu kompromittieren, darunter Ziele in Albanien, Zypern, Ägypten, Irak, Jordanien. Kuwait, Libanon, Libyen, Saudi-Arabien und die Vereinigten Arabischen Emirate.
Diese „passiven Daten“ weisen beispielsweise darauf hin, dass Angreifer die DNS-Einträge der Domain
mail.gov.ae abfangen konnten, die die E-Mail von Regierungsbehörden in den VAE
bereitstellt . Hier sind nur einige andere interessante Bereiche, die während der Operation erfolgreich kompromittiert wurden:
-nsa.gov.iq: Irakischer Nationaler Sicherheitsrat
-webmail.mofa.gov.ae: E-Mail vom Außenministerium der VAE
-shish.gov.al: Staatlicher Geheimdienst Albaniens
-mail.mfa.gov.eg: Mailserver des ägyptischen Außenministeriums
-mod.gov.eg: Ägyptisches Verteidigungsministerium
-embassy.ly: Botschaft von Libyen
-owa.e-albania.al: Outlook Web Access-Portal für E-Government in Albanien
-mail.dgca.gov.kw: Mailserver des Kuwait Civil Aviation Bureau
-gid.gov.jo: Jordanischer General Intelligence Agency
-adpvpn.adpolice.gov.ae: VPN-Dienst der Polizei von Abu Dhabi
-mail.asp.gov.al: E-Mail der albanischen Staatspolizei
-owa.gov.cy: Microsoft Outlook Web Access Portal für die Regierung von Zypern
-webmail.finance.gov.lb: Post des libanesischen Finanzministeriums
-mail.petroleum.gov.eg: Ägyptisches Ölministerium
-mail.cyta.com.cy: Zypern Telekommunikations- und Internetanbieter Cyta
-mail.mea.com.lb: Mailserver von Middle East Airlines
Passive DNS-Daten von Farsight und SecurityTrails geben auch Hinweise, wenn jede dieser Domänen „erfasst“ wird. In den meisten Fällen haben die Angreifer anscheinend die DNS-Einträge für diese Domänen geändert (etwas später werden wir erläutern, wie dies geschieht), sodass sie auf die Server verweisen, die in Europa unter ihrer Kontrolle stehen.
Bald nach Beginn des Angriffs - manchmal nach Wochen, manchmal Tagen oder Stunden - konnten Angreifer SSL-Zertifikate für diese Domänen von
Comodo und / oder
Let's Encrypt- Zertifizierungsstellen erhalten. Die Vorbereitung mehrerer Angriffe kann auf
crt.sh zurückgeführt werden : die Basis aller neuen SSL-Zertifikate mit Suchfunktion.
Betrachten wir ein Beispiel genauer. Der CrowdStrike-Bericht erwähnt die IP-Adresse
139.59.134 [.] 216 (siehe oben), die laut Farsight im Laufe der Jahre sieben verschiedene Domains gehostet hat. Im Dezember 2018 erschienen jedoch zwei neue an dieser Adresse, darunter Domains im Libanon und seltsamerweise in Schweden.
Die erste davon ist
ns0.idm.net.lb - der Server des libanesischen Internetproviders
IDM . Von Anfang 2014 bis Dezember 2018 wies der Eintrag ns0.idm.net.lb auf die libanesische IP-Adresse
194.126.10 [.] 18 hin . Der Screenshot von Farsight unten zeigt jedoch, dass sich die DNS-Einträge für diesen Internetprovider am 18. Dezember 2018 geändert haben, indem der für IDM bestimmte Datenverkehr an einen Hosting-Provider in Deutschland umgeleitet wurde (Adresse 139.59.134 [.] 216).
Beachten Sie, welche anderen Domänen laut Farsight auf dieser IP-Adresse 139.59.134 [.] 216 zusammen mit der IDM-Domäne sitzen:
Die DNS-Einträge der Domains
sa1.dnsnode.net und
fork.sth.dnsnode.net wurden im Dezember ebenfalls von ihren legitimen schwedischen Adressen auf die IP eines deutschen
Hosters geändert. Diese Domains gehören
Netnod Internet Exchange , Schwedens größtem globalen DNS-Anbieter. Netnod verwaltet auch einen von
13 Root-DNS-Servern : eine wichtige Ressource, die dem globalen DNS-System zugrunde liegt.
Kommen wir etwas später zu Netnod zurück. Schauen wir uns zunächst eine andere IP-Adresse an, die im CrowdStrike-Bericht als Teil der vom DNSpionage-Angriff betroffenen Infrastruktur angegeben ist:
82.196.11 [.] 127 . Diese niederländische Adresse beherbergt auch die Domain
mmfasi [.] Com . Laut CrowdStrike ist dies eine der Angreifer-Domänen, die als DNS-Server für einige der entführten Domänen verwendet wurde.
Wie Sie sehen können, hat 82.196.11 [.] 127 vorübergehend ein weiteres Paar von Netnod-DNS-Servern sowie den Server
ns.anycast.woodynet.net gehostet . Er trägt den Spitznamen
Bill Woodcock , Executive Director des
Packet Clearing House (PCH) .
PCH ist eine gemeinnützige Organisation aus Nordkalifornien, die auch einen erheblichen Teil der globalen DNS-Infrastruktur verwaltet, einschließlich der Bereitstellung von mehr als 500 Top-Level-Domains und einer Reihe von Top-Level-Domains im Nahen Osten, die von der DNSpionage-Operation betroffen sind.
Angriff auf Registrare
Am 14. Februar haben wir Ln Michael Yogback, CEO von Netnod, kontaktiert. Er bestätigte, dass ein Teil der Netnod-DNS-Infrastruktur Ende Dezember 2018 und Anfang Januar 2019 entführt wurde, nachdem Angreifer Zugriff auf Registrar-Konten erhalten hatten.
Yogbek verwies auf
eine am 5. Februar veröffentlichte Unternehmenserklärung. Es heißt, Netnod habe am 2. Januar von seiner Beteiligung an dem Angriff erfahren, wonach es während der gesamten Zeit mit allen interessierten Parteien und Kunden in Kontakt getreten sei.
"Als Teilnehmer an der internationalen Sicherheitskooperation wurde Netnod am 2. Januar 2019 bewusst, dass wir in diese Reihe von Angriffen verwickelt waren und mit einer Art MiTM (Man-in-the-Middle) angegriffen wurden", heißt es in der Erklärung. - Netnod ist nicht das ultimative Ziel von Hackern. Nach den verfügbaren Informationen besteht ihr Ziel darin, Anmeldeinformationen für Internetdienste in Ländern außerhalb Schwedens zu sammeln. “
Am 15. Februar gab PCH Bill Woodcock in einem Interview zu, dass auch Teile der Infrastruktur seiner Organisation gefährdet waren.
Nach dem unbefugten Zugriff kopierten Hacker die Datensätze der Domains pch.net und dnsnode.net auf dieselben Server des deutschen Domain-Registrars Key-Systems GmbH und des schwedischen Unternehmens Frobbit.se. Letztere sind Wiederverkäufer von Key Systems und nutzen dieselbe Internetinfrastruktur.
Laut Woodcock haben Phishing-Hacker die Anmeldeinformationen ausgetrickst, mit denen PCH Signalisierungsnachrichten gesendet hat, die als
Extensible Provisioning Protocol (EPP) oder „Extensible Information Protocol“ bekannt sind. Dies ist eine wenig bekannte Schnittstelle, eine Art Backend für das globale DNS-System, mit dem Domain-Registrare regionale Registries (z. B. Verisign) über Änderungen in Domain-Datensätzen informieren können, einschließlich der Registrierung neuer Domains, Änderungen und Übertragungen.
"Anfang Januar gab Key-Systems bekannt, dass nicht autorisierte Personen, die Anmeldeinformationen gestohlen haben, ihre EPP-Schnittstelle verwendet haben", sagte Woodcock.
Key-Systems lehnte es ab, die Geschichte zu kommentieren. Sie gab an, dass sie die Geschäftsdetails ihrer Reseller-Kunden nicht diskutiere.
Die
offizielle Angriffserklärung von Netnod richtet sich an weitere Anfragen an den Sicherheitsdirektor Patrick Veltström, der auch Miteigentümer von Frobbit.se ist.
In einer Korrespondenz mit uns sagte Veltstrom, dass es Hackern gelungen sei, EPP-Anweisungen im Auftrag von Frobbit und Key Systems an verschiedene Register zu senden.
"Aus meiner Sicht ist dies offensichtlich eine frühe Version eines zukünftigen Großangriffs auf die EVP", schrieb Feltström. - Das heißt, das Ziel war es, die richtigen EPP-Befehle an die Register zu senden. Persönlich habe ich große Angst vor dem, was in Zukunft passieren könnte. Sollten Registries allen Teams von Registraren vertrauen? Wir werden immer gefährdete Registrare haben, oder? “
DNSSEC
Einer der interessantesten Aspekte dieser Angriffe ist, dass Netnod und PCH hochkarätige Unterstützer und Anhänger von
DNSSEC sind , einer Technologie, die speziell vor Angriffen schützt, wie sie DNSpionage-Hacker eingesetzt haben.
DNSSEC schützt Anwendungen vor Fälschungen von DNS-Daten, indem für alle DNS-Abfragen für eine bestimmte Domäne oder eine bestimmte Gruppe von Domänen eine digitale Signatur erforderlich ist. Wenn der Nameserver feststellt, dass sich der Adressdatensatz dieser Domäne während der Übertragung nicht geändert hat, wird er aufgelöst und ermöglicht dem Benutzer, die Site zu besuchen. Wenn sich der Eintrag jedoch irgendwie geändert hat oder nicht mit der angeforderten Domäne übereinstimmt, blockiert der DNS-Server den Zugriff.
Obwohl DNSSEC ein wirksames Instrument zur Abwehr solcher Angriffe sein kann, haben laut einer
Studie von APNIC, einem Internet-Registrar im asiatisch-pazifischen Raum, nur etwa 20% der wichtigsten Netzwerke und Standorte der Welt Unterstützung für dieses Protokoll bereitgestellt.
Yogbek sagte, die Netnod-Infrastruktur sei im Rahmen der DNSpionage-Operation dreimal getroffen worden. Die ersten beiden traten im zweiwöchigen Intervall zwischen dem 14. Dezember 2018 und dem 2. Januar 2019 auf und richteten sich an Server, die
nicht durch DNSSEC geschützt sind.
Zwischen dem 29. Dezember und dem 2. Januar wurde jedoch ein dritter Angriff auf die Netnod-Infrastruktur durchgeführt,
die durch DNSSEC
geschützt ist und ein eigenes internes E-Mail-Netzwerk bedient. Da die Angreifer bereits Zugriff auf die Registrarsysteme hatten, konnten sie diesen Schutz für kurze Zeit
deaktivieren - zumindest diesmal, um die SSL-Zertifikate von
zwei Netnod- Mailservern zu erhalten .
Als die Angreifer die Zertifikate erhielten, starteten sie DNSSEC auf den Zielservern neu, wahrscheinlich in Vorbereitung auf die zweite Phase des Angriffs - die Umleitung des E-Mail-Verkehrs auf ihre Server. Laut Yogbek haben die Angreifer DNSSEC aus irgendeinem Grund nicht wieder ausgeschaltet, als sie mit der Umleitung des Datenverkehrs begannen.
"Zum Glück haben sie vergessen, es auszuschalten, als der MiTM-Angriff begann", sagte er. "Wenn sie qualifizierter wären, hätten sie DNSSEC aus der Domain entfernt, was sie hätten tun können."
Laut Woodcock überprüft PCH DNSSEC in der gesamten Infrastruktur, aber nicht alle Kunden des Unternehmens haben Systeme konfiguriert, um die Technologie vollständig zu implementieren. Dies gilt insbesondere für Kunden in Ländern des Nahen Ostens, die vom DNSpionage-Angriff betroffen sind.
Laut Woodcock wurde die PCH-Infrastruktur vom 13. Dezember 2018 bis zum 2. Januar 2019 viermal von DNSpionage angegriffen. Jedes Mal verwendeten Hacker Tools, um den Datenverkehr etwa eine Stunde lang mit Anmeldeinformationen abzufangen. Anschließend wurde das Netzwerk minimiert und in den ursprünglichen Zustand zurückversetzt.
Eine Überwachung von mehr als einer Stunde wäre überflüssig, da die meisten modernen Smartphones so konfiguriert sind, dass sie ständig E-Mails abrufen. So konnten Hacker in nur einer Stunde eine sehr große Anzahl von Anmeldeinformationen sammeln.
2. Januar 2019 - am selben Tag, an dem der Angriff auf die internen Mailserver von Netnod stattfand - griffen Hacker PCH direkt an, nachdem sie Comodo-SSL-Zertifikate von
zwei PCH-
Domänen erhalten hatten , über die auch die internen Mails des Unternehmens gesendet werden.
Woodcock sagte, dass der Angriff dank DNSSEC fast vollständig neutralisiert wurde, die Hacker jedoch die E-Mail-Anmeldeinformationen von zwei Mitarbeitern erhalten konnten, die sich zu diesem Zeitpunkt im Urlaub befanden. Ihre Mobilgeräte haben im Hotel E-Mails über WLAN heruntergeladen. Daher haben sie (gemäß den Bestimmungen des WLAN-Dienstes) die DNS-Server des Hotels und keine PCH-fähigen DNNSEC-Systeme verwendet.
"Beide Opfer waren zu dieser Zeit mit ihren iPhones im Urlaub und mussten beim Empfang von Post kompromittierte Portale durchlaufen", sagte Woodcock. „Beim Zugriff mussten sie unsere Nameserver trennen, und während dieser Zeit suchten ihre E-Mail-Clients nach neuen E-Mails. Abgesehen davon hat DNSSEC uns vor der vollständigen Erfassung bewahrt. “
Da PCH seine Domänen mit DNSSEC schützt, bestand der praktische Effekt des Hackens der E-Mail-Infrastruktur darin, dass etwa eine Stunde lang nur zwei Remote-Mitarbeiter Briefe erhielten.
"Tatsächlich war der Mailserver für alle unsere Benutzer für kurze Zeit nicht verfügbar", sagte Woodcock. - Die Leute haben nur auf das Telefon geschaut, keine neuen Briefe gesehen und gedacht: Seltsam, ich werde es später überprüfen. Und als sie das nächste Mal nachgesehen haben, hat alles gut funktioniert. Eine Gruppe unserer Mitarbeiter bemerkte eine kurzfristige Abschaltung des Postdienstes, aber dies wurde nicht zu einem ernsthaften Problem, als dass eine Diskussion beginnen oder jemand ein Ticket registrieren könnte. “
Aber DNSpionage-Hacker haben es nicht gestoppt. In einem Newsletter für Kunden teilte PCH mit, dass die durchgeführte Untersuchung am 24. Januar eine Website mit einer Benutzerdatenbank gehackt habe. Die Datenbank enthält Benutzernamen, bcrypt-Passwort-Hashes, E-Mails, Adressen und Firmennamen.
"Wir sehen keine Beweise dafür, dass die Angreifer auf die Datenbank zugegriffen haben", heißt es in dem Bericht. "Daher melden wir diese Informationen aus Gründen der Transparenz und Vorsicht und nicht, weil wir die Daten als kompromittiert betrachten."
Fortgeschrittene
Mehrere Experten, die wir im Zusammenhang mit dieser Geschichte befragt haben, erwähnten die chronischen Probleme von Organisationen beim Schutz ihres DNS-Verkehrs. Viele nehmen es als gegeben wahr, führen keine Protokolle und überwachen keine Änderungen in Domäneneinträgen.
Selbst für Unternehmen, die versuchen, ihre DNS-Infrastruktur auf verdächtige Änderungen zu überwachen, überprüfen einige Überwachungsdienste DNS-Einträge passiv oder nur einmal am Tag. Woodcock bestätigte, dass sich PCH auf nicht weniger als drei Überwachungssysteme stützte, aber keines von ihnen warnte vor dem stündlichen Diebstahl von DNS-Einträgen, die PCH-Systeme trafen.
Laut Woodcock hat PCH seitdem mehrmals pro Stunde ein eigenes DNS-Infrastrukturüberwachungssystem implementiert, das sofort vor Änderungen warnt.
Laut Yogbek hat Netnod auch die Überwachung verschärft und die Anstrengungen zur Implementierung aller verfügbaren Sicherheitsoptionen für die Domäneninfrastruktur verdoppelt. Zum Beispiel, bevor ein Unternehmen nicht Datensätze für alle seine Domänen
blockiert hat . Dieser Schutz bietet zusätzliche Authentifizierung, bevor Änderungen an den Datensätzen vorgenommen werden.
"Es tut uns sehr leid, dass wir unseren Kunden keinen maximalen Schutz geboten haben, aber wir selbst wurden Opfer einer Angriffskette", sagte Yogbek. - Nach dem Raub können Sie das beste Schloss errichten und hoffen, dass es jetzt schwieriger wird, so etwas zu wiederholen. Ich kann wirklich sagen, dass wir viel gelernt haben, indem wir Opfer dieses Angriffs geworden sind, und jetzt fühlen wir uns viel sicherer als zuvor. “
Woodcock ist besorgt darüber, dass die Verantwortlichen für die Implementierung der neuen Protokolle und anderer Infrastrukturdienste die globale Bedrohung durch DNS-Angriffe nicht ernst nehmen. Er ist zuversichtlich, dass DNSpionage-Hacker in den kommenden Monaten und Jahren viele weitere Unternehmen und Organisationen knacken werden.
"Die Schlacht ist gerade im Gange", sagte er. "Die Iraner führen diese Angriffe nicht kurzfristig durch." Sie versuchen, tief genug in die Internetinfrastruktur einzudringen, um jederzeit das zu erreichen, was sie wollen. Sie wollen sich in Zukunft möglichst viele Handlungsmöglichkeiten bieten. "
Empfehlungen
John Crane ist Leiter für Sicherheit, Stabilität und Ausfallsicherheit bei ICANN, einer gemeinnützigen Organisation, die die globale Domainnamenbranche überwacht. Er sagt, dass viele der Präventions- und Schutzmethoden, die es Angreifern erschweren können, Domänen oder DNS-Infrastrukturen zu übernehmen, seit über einem Jahrzehnt bekannt sind.
"Viel hängt von der Datenhygiene ab", sagte Crane.
- Weder große Unternehmen noch das kleinste Unternehmen achten auf sehr einfache Sicherheitsmethoden wie die Multi-Faktor-Authentifizierung. Wenn Sie heutzutage einen suboptimalen Schutz haben, werden Sie gehackt. Das ist die Realität von heute. Wir sehen im Internet viel anspruchsvollere Gegner, und wenn Sie keinen grundlegenden Schutz bieten, werden sie Sie schlagen. “Einige der besten Sicherheitspraktiken für Organisationen sind:- Verwenden Sie DNSSEC (zum Signieren und Überprüfen von Antworten)
- Verwenden Sie Registrierungsfunktionen wie die Registrierungssperre, um Domainnamensdatensätze vor Änderungen zu schützen
- Verwenden Sie Zugriffssteuerungslisten für Anwendungen, Internetverkehr und Überwachung
- , ,
- , , Certificate Transparency Logs