"Überprüfen Sie die URL vor dem Anklicken des Links" lautet eine goldene Regel, um sich vor Cyberangriffen verschiedener Art zu schützen – gegen eine neue Bande namens "Hazy Hawk" hilft sie leider nur bedingt: Cyberkriminellen ist es gelungen, zahlreiche Subdomains namhafter Unternehmen zur Verbreitung von Malware und Co zu nutzen. Das Einfallstor waren offenbar falsch konfigurierte DNS-Einträge – wahrscheinlich wurden diese vielfach einfach von ihren rechtmäßigen Inhabern vergessen.
Betroffen sind laut einem Bericht des IT-Sicherheitsunternehmens Infoblox unter anderem Bose, Panasonic und sogar die US-Seuchenbehörde Centers for Disease Control and Prevention (CDC). Die Entdeckung von Hazy Hawk geht laut Infoblox auf IT-Journalist Brian Krebs zurück. "Er machte uns darauf aufmerksam, dass die CDC-Domäne cdc[.]gov plötzlich Dutzende von URLs enthielt, die auf Pornovideos verwiesen", schreiben die Autoren. Diese seien in den Suchmaschinenergebnissen zu sehen gewesen und trugen demnach in den Suchmetadaten Verweise auf die CDC. Die Seiten sehen also in Suchergebnissen so aus, als stammten sie wirklich von der Behörde. Auch anderes, wie zum Beispiel falsche Antivirus-Software, versuchen die Kriminellen über die Subdomains ihrer Opfer zu verbreiten.
Anstatt auf Bruteforce oder Phishing zu setzen, um Kontrolle über die Netzwerke seiner Opfer zu erlangen, nutzt Hazy Hawk anscheinend alte, nicht mehr genutzte Cloud-Ressourcen aus, die mit falsch konfigurierten DNS CNAME-Einträgen verbunden sind, auch "Dangling"-Einträge genannt.
Sie entstehen, wenn ein Unternehmen seine Kapazitäten bei Cloud-Diensten wie Azure oder AWS außer Betrieb nimmt, aber nicht den DNS-Eintrag, der auf ihn verweist, aktualisiert oder löscht. Oft werden diese Einträge von den Inhabern einfach vergessen – doch sie werden zu gefährlichen Angriffszielen, mit denen die Cyberkriminellen ihre schädlichen Inhalte verbreiten können. Besonders gefährlich an dieser Masche: Viele gängige Sicherheitssysteme weisen gar nicht auf solche Fehlkonfigurationen hin.
Die Hazy Hawk-Akteure gingen noch weiter: Von den gekaperten Subdomains leiten sie die Besucher häufig automatisch auf schädliche Webseiten um. Sie nutzten dazu sogenannte Traffic Distribution Systems (TDS). Diese sind darauf ausgelegt, je nach Endgerät, Standort und Nutzungsverhalten die passenden Betrugsseiten zu liefern. Die Weiterleitung beginnt häufig von seriös anmutenden Blogs oder Entwicklerseiten, bevor die Odyssee durch ein Netz von Betrügerseiten beginnt. Erlauben Nutzer Push-Benachrichtigungen von solchen Seiten, erhöht sich das Risiko noch weiter. Daher gilt umso mehr, was ohnehin schon gilt: Nicht vertrauenswürdigen Seiten sollte man Push-Benachrichtigungen nicht erlauben.
Darüber hinaus sollten Nutzer bei verführerischen Mails mit Rabattangeboten etc. – selbst wenn sie auf seriöse Domains verweisen – vorsichtig sein, wenn das Angebot eigentlich zu gut wirkt, um echt zu sein.
Organisationen sollten verstärkt auf "DNS-Hygiene" achten – und sich dringend um veraltete DNS-Einträge kümmern. Da DNS noch nicht flächendeckend als Vektor für Cyberangriffe verstanden wird, bleibt diese Methode offenbar häufig lange unerkannt.
Die Identifizierung verlassener Cloud-Ressourcen ist laut Infoblox wesentlich schwieriger als zum Beispiel die Identifizierung nicht registrierter Domains. Jeder Cloud-Anbieter gehe mit fehlenden Ressourcen anders um. Einige große Cloud-Anbieter wie Azure haben sogar spezielle Mechanismen implementiert, um ein Hijacking zu verhindern, selbst wenn ein "Dangling Record" existiert. Hazy Hawk nutzt derweil URLs, die in den Augen der Autoren besonders schwer zu finden sind – sie gehen deshalb davon aus, dass die Bande erweiterten Zugriff auf entsprechende DNS-Daten hat.
Lesen Sie auch
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare