Cybersicherheitsexperten von Infoblox und Eclypsium haben kürzlich vor einer schwerwiegenden Bedrohung für Millionen von Domains gewarnt. Der als „Sitting Ducks“ oder „Ducks Now Sitting“ (DNS) bekannte Angriff ermöglicht es Cyberkriminellen, Kontrolle über Domains zu erlangen, ohne Zugriff auf die Konten der rechtmäßigen Besitzer bei DNS-Providern oder Registraren zu haben. Diese Schwachstelle, die täglich über eine Million Domains gefährdet, wurde bereits zur Übernahme von mindestens 35.000 Domains ausgenutzt.
Ursprung und Mechanismus des „Sitting Ducks“-Angriffs
Die Wurzeln dieser Angriffsmethode reichen bis ins Jahr 2016 zurück, als der Sicherheitsforscher Matthew Bryant sie erstmals dokumentierte. Trotz der verstrichenen Zeit bleibt „Sitting Ducks“ eine einfache, aber effektive Technik zur Domainübernahme. Der Angriff nutzt Konfigurationsprobleme auf Registrarebene und unzureichende Überprüfungen der Eigentumsrechte durch DNS-Provider aus.
Voraussetzungen für einen erfolgreichen „Sitting Ducks“-Angriff:
1. Die Domain muss einen autoritativen DNS-Dienst nutzen, der sich vom Registrar unterscheidet.
2. Die Registrierung des autoritativen DNS-Dienstes oder Hostings für die Zieldomain muss abgelaufen sein.
3. Der DNS-Provider muss es versäumen, die Eigentumsrechte an der Domain zu überprüfen.
Auswirkungen und Gefahren der Domainübernahme
Nach einer erfolgreichen Übernahme können Angreifer die kompromittierte Domain für verschiedene bösartige Aktivitäten missbrauchen. Dazu gehören die Verbreitung von Malware, Phishing-Kampagnen, Spam-Versand und Datendiebstahl. Die Forscher haben beobachtet, dass einige übernommene Domains bis zu einem Jahr lang von Cyberkriminellen kontrolliert wurden. In einigen Fällen wechselten Domains sogar zwischen verschiedenen kriminellen Gruppen, die sie jeweils für ein bis zwei Monate für ihre Operationen nutzten.
Umfang der Bedrohung und betroffene Akteure
Die Untersuchungen zeigen, dass mindestens sechs DNS-Provider derzeit anfällig für „Sitting Ducks“-Angriffe sind. Unter den bekannten Opfern befindet sich auch der große Domain-Registrar GoDaddy. Besonders besorgniserregend ist die Tatsache, dass mehrere russischsprachige Hackergruppen diese Taktik seit Jahren erfolgreich einsetzen. Die Forscher haben verschiedene Bedrohungsakteure identifiziert, die aktiv „Sitting Ducks“-Angriffe durchführen, darunter bekannte Gruppen wie Magecart und REvil.
Präventionsmaßnahmen und Empfehlungen
Um sich vor „Sitting Ducks“-Angriffen zu schützen, empfehlen Experten Domainbesitzern, ihre DNS-Konfigurationen regelmäßig auf Delegierungsprobleme zu überprüfen. Dies gilt insbesondere für ältere Domains. Zudem sollten die Delegierungseinträge beim Registrar oder auf dem autoritativen Nameserver aktualisiert werden. Registrare werden dazu angehalten, proaktive Prüfungen auf fehlerhafte Delegierungen durchzuführen und betroffene Domaininhaber zu warnen.
Die „Sitting Ducks“-Bedrohung unterstreicht die Notwendigkeit erhöhter Wachsamkeit im Bereich der DNS-Sicherheit. Domainbesitzer, Registrare und DNS-Provider müssen zusammenarbeiten, um ihre Systeme zu härten und potenzielle Schwachstellen zu schließen. Nur durch kontinuierliche Überwachung und prompte Reaktion auf Sicherheitslücken kann die Integrität des Domain Name Systems gewahrt und die Cybersicherheit im Internet insgesamt verbessert werden.