X

Sea Turtle: Diverse TLD-Verwalter gehackt, ganze Länder ausspioniert

Einer der bisher größten Fälle von DNS-Hijacking ist entdeckt worden. Angreifer hatten hier nicht mehr nur den Datenverkehr einzelner Angebote unter ihre Kontrolle gebracht, sondern gleich den Traffic unter mehreren Top-Level-Domains (TLD). Komplette Länder sind so wahrscheinlich ausspioniert worden.
18.04.2019  08:29 Uhr
Entdeckt wurde der Vorfall von Sicherheitsforschern bei Talos, einer Tochter des Netzwerkausrüsters Cisco, berichtete das US-Magazin Wired. Wie diese berichteten, habe eine Gruppe, die sie auf den Namen "Sea Turtle" tauften, die DNS-Server von 40 Organisationen unter ihre Kontrolle gebracht. Betroffen waren den Angaben zufolge mehrere Systeme von Unternehmen und Behörden, die in den jeweiligen Staaten die DNS-Verwaltung unter ihrer Kontrolle haben. Ziele waren also verschiedene Telekommunikations-Unternehmen, Provider und Domain-Registrare, teils aber auch Ministerien, die in den betroffenen Ländern die gesamte nationale Domain-Verwaltung inne haben. In den meisten Fällen handelte es sich nach den bisherigen Erkenntnissen um Organisationen in Ländern aus dem Mittleren Osten und Nordafrika.

Hintergründe unklar

Indem die Angreifer die Kontrolle über die TLD-Verwaltung übernahmen, konnten sie im Grunde den gesamten Traffic, der unter den entsprechenden Domains anfiel, über eigene Systeme leiten und - sofern er nicht verschlüsselt war - direkt ausspionieren. Im Grunde ist ein erfolgreicher Angriff dieser Art ebenso effektiv wie die Möglichkeit, ein Kabel direkt in einen Router eines Internet-Knotens zu stecken.

Die Talos-Sicherheitsforscher hielten sich mit konkreten Anschuldigungen zum Hintergrund der "Sea Turtle"-Gruppe zurück. Immerhin ist es in der Regel ohnehin nicht möglich, die Angreifer wirklich zu identifizieren, so dass lediglich verschiedene Indizien herangezogen werden - wie etwa Kommentare in Quellcodes einer Malware oder bestimmte Muster in der Art der Programmierung.

Und auch die Opfer wurden nicht namentlich benannt. Nur soviel: Die Attacken erstreckten sich über Länder von Albanien bis zum Irak und von der Türkei bis Libyen. Angegriffen wurden im Zuge dessen aber auch der schwedische Dienstleister NetNot und Packet Clearinghouse aus Kalifornien, die beide wichtige DNS-Dienstleistungen für die genannten Länder bereitstellen.

Siehe auch: ICANN: DNS-Schlüsselwechsel weitestgehend ohne Probleme verlaufen
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture