Sicherheitsforscher von Infoblox haben eine weitreichende Cyberattacke der Hackergruppe Hazy Hawk aufgedeckt, die systematisch Schwachstellen in der DNS-Infrastruktur ausnutzt. Die Angreifer zielen dabei auf vergessene CNAME-Einträge ab, die auf nicht mehr aktive Cloud-Dienste verweisen, um Kontrolle über Subdomains von Regierungsbehörden, Bildungseinrichtungen und multinationalen Unternehmen zu erlangen.
Technische Details der DNS-Hijacking Methode
Die Angreifer nutzen eine ausgeklügelte Technik des passiven DNS-Scannings, um CNAME-Records zu identifizieren, die auf aufgegebene Cloud-Endpunkte verweisen. Nach der Identifizierung registrieren die Cyberkriminellen neue Cloud-Ressourcen unter identischen Namen, wodurch sie die Kontrolle über die entsprechenden Subdomains übernehmen können. Diese Vorgehensweise ist besonders gefährlich, da sie legitime DNS-Mechanismen missbraucht und dadurch schwer zu erkennen ist.
Prominente Opfer der Angriffskampagne
Zu den kompromittierten Domains gehören hochrangige Organisationen wie US Centers for Disease Control and Prevention (cdc.gov), UNICEF (unicef.org) und das australische Gesundheitsministerium (health.gov.au). Auch renommierte Bildungseinrichtungen wie die University of California Berkeley und die New York University sowie Global Player wie Honeywell, Michelin und Unilever waren betroffen.
Missbrauch der kompromittierten Domains
Nach erfolgreicher Übernahme der Subdomains etabliert Hazy Hawk ein komplexes Traffic-Direction-System (TDS). Dieses System kategorisiert Besucher nach verschiedenen Kriterien wie Gerättyp, geografischem Standort und VPN-Nutzung, um gezielte Angriffe durchzuführen.
Beobachtete Betrugsszenarien
Die kompromittierten Domains werden hauptsächlich für folgende betrügerische Aktivitäten genutzt:
- Verteilung gefälschter Tech-Support-Benachrichtigungen
- Verbreitung falscher Antivirus-Warnungen
- Hosting von Phishing-Kampagnen
- Einschleusung betrügerischer Browser-Push-Benachrichtigungen
Zur Prävention solcher Angriffe empfehlen Sicherheitsexperten die Implementierung eines robusten DNS-Monitoring-Systems, regelmäßige Audits der DNS-Konfiguration und die umgehende Bereinigung ungenutzter CNAME-Einträge. Besonders kritisch ist die zeitnahe Deaktivierung von DNS-Einträgen beim Abschalten von Cloud-Diensten. Organizations sollten zudem erwägen, DNSSEC zu implementieren und ihre DNS-Konfigurationen durch automatisierte Monitoring-Tools kontinuierlich zu überwachen.
