22. April 2019 John Hultquist*

DNS Hijacking-Kampagne: Statement von FireEye

Im Zusammenhang mit der aktuellen Berichterstattung zu einer neuen DNS Hijacking-Kampagne – von Cisco Talos „Sea Turtle“ genannt - bieten FireEye ein Statement zur aktuellen Thematik. [...]

"Der Akteur Malware, die wir bei FireEye TWOTONE nennen – bei TALOS DNSpionage genannt." (c) Vladimir Vitek - Fotolia
"Der Akteur Malware, die wir bei FireEye TWOTONE nennen – bei TALOS DNSpionage genannt." (c) Vladimir Vitek - Fotolia

FireEye beobachtet derzeit mehrere Aktivitäten, die für die Manipulation von DNS-Einträgen verantwortlich sind. Auf einige dieser Aktivitäten haben wir bereits in unserem Blog-Beitrag vom 9. Januar 2019 hingewiesen:

Wir gehen davon aus, dass ein kleiner Teil dieser Aktivitäten vermutlich von einem iranischen Akteur durchgeführt wird. Dabei nutzt der Akteur Malware, die wir bei FireEye TWOTONE nennen – bei TALOS DNSpionage genannt. 

Wir vermuten jedoch, dass andere Akteure – und eventuell andere Staaten – hinter weiteren Bedrohungen durch DNS-Manipulation stehen, die nicht in diesem Zusammenhang stehen. Einige dieser Aktivitäten haben wir bereits im Januar 2019 auf unserem Blog vorgestellt. Wir glauben, dass diese Aktivität die Verwendung gestohlener EPP-Anmeldeinformationen beinhaltete und wahrscheinlich staatlich finanziert wurde. EPP ist ein zugrundeliegendes Protokoll, das zur Verwaltung von DNS-Systemen verwendet wird.

Diese Akteure manipulieren erfolgreich DNS-Einträge auf Registrierungsebenen, obwohl wir nicht direkt beobachtet haben, wie ccTLD-Einträge geändert werden. Die Änderung dieser Datensätze könnte es Gegnern ermöglichen, den Datenverkehr an die Infrastruktur des Akteurs umzuleiten, zu entschlüsseln, aufzuzeichnen und an das gewünschte Ziel weiterzuleiten. Ein Akteur könnte die Betroffenen auch auf Malware umleiten oder durch Anfragen einen Denial-of-Service-Angriff starten.

Diese Vorfälle können sehr schwer zu erkennen sein, da der Nachweis von Datensatzänderungen und SSL-Zertifikaten außerhalb eines traditionellen Unternehmensnetzwerks liegt und die Sicherheit dieser Systeme bei einem Drittanbieter gehostet werden.
Abgesehen von einem möglichen iranischen Akteur und einem weiteren, im Blog vom Januar 2019 beschriebenen, Akteur, beobachten wir zudem Hijacking-Aktivitäten, von denen wir vermuten, dass sie mit völlig unterschiedlichen Akteuren zusammenhängen.

So wurde beispielsweise bei einem Vorfall in Israel im März 2019 DNS-Manipulation eingesetzt. Dabei übernahm der Akteur die Domain eines Drittanbieter-Plugins, das auf israelischen Websites weit verbreitet ist, um Ransomware zu verbreiten. Der Zustellmechanismus schlug fehl, allerdings wurden die Benutzer auf eine Seite umgeleitet, die eine politische Botschaft anzeigte.

Wir haben diese Methode bereits bei vielen unterschiedlichen Akteuren beobachtet, oft mit dem Ziel von Spionage, Kriminalität, Hacktivismus oder anderen Motiven. Wir gehen davon aus, dass in naher Zukunft mehr Akteure diese Methode nutzen werden. Auch wenn sich ein Großteil der von TALOS beschriebenen Aktivitäten auf den Nahen Osten und Nordafrika konzentriert, gibt es keinen Grund anzunehmen, dass die DNS-Manipulation auf eine bestimmte Region beschränkt bleibt.

*John Hultquist ist Director of Intelligence bei FireEye.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

21. November 2024 Andrea Wörrlein *

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

21. November 2024

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

21. November 2024 Wolfgang Franz

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*