Twitter von Iranian Cyber Army (nicht) gehackt

Originalartikel von Rik Ferguson (Solutions Architect bei Trend Micro)

Banner der gehackten Site

Heute Morgen hat eine Gruppe namens „Iranian Cyber Army“ (ob sie sich wohl der Ähnlichkeit zu CIA bewusst ist) eine DNS-Hijacking-Attacke auf Twitter gestartet.

Die gehackte Seite

Viele Nutzer waren durch den Angriff verwirrt, denn es gab das breit gestreute Gerücht, die Twitter-Server selbst seien infiziert. Dies scheint sich jedoch nicht bewahrheitet zu haben. Der neueste Twitter-Blog-Eintrag lautet:

„Twitters DNS-Records waren heute Nacht zeitweise kompromittiert, sind aber mittlerweile wieder in Ordnung. Wie einige feststellen mussten, wurde Twitter.com für eine Weile umgeleitet, doch API und die Plattformanwendungen funktionierten. Weitere Informationen und Details werden folgen, sobald wir weitere Nachforschungen abgeschlossen haben.“

Diese Art des DNS-Hijacking schließt üblicherweise die Kompromittierung des für die DNS-Records der Opferfirma verantwortlichen Registrars mit ein. Dann führen die Angreifer nicht autorisierte Änderungen der DNS-Records durch. Diese Änderungen bewirken, dass der Nutzer nach dem Eingeben der Adresse einer Website in den Browser auf eine andere, von den Hackern (in diesem Fall die Iranian Cyber Army) aufgesetzte Site umgeleitet wird. Der erzielte Effekt besteht darin, dass es so aussieht, als ob, wie in diesem Fall, die Twitter-Server kompromittiert scheinen, während sie tatsächlich sauber sind.

Angriffe dieser Art lassen sich im Allgemeinen einem gewissen „Hacktivismus“ zuordnen, doch man mag sich gar nicht vorstellen, welches Potenzial sich den Kriminellen damit erschließt, wenn sie diesen Angriff gegen jede beliebige Site , die Login-Daten erfordert, starten können – etwa PayPal, eBay, MSN oder Facebook. Man fragt sich, wie schnell ein Angriff bemerkt würde, wenn die Dummy-Site eine genaue Replik des Opfers wäre und nur dem Zweck diente, persönliche Daten zu sammeln und den Nutzer dann auf die echte Site zu leiten. Solche, Pharming genannten Angriffe passieren heute mithilfe von lokaler Malware, die einzelne PCs modifiziert, und nicht über die Kompromittierung von weltweiten DNS-Records. Unternehmen sollten ihre DNS-Auflösung auf mehreren Servern gut monitoren, um möglichst früh einen derartigen Angriff zu entdecken.

Twitter war nicht die einzige Website, die diesen Aktivitäten ausgesetzt war. Eine Suchanfrage förderte weitere Sites mit demselben Inhalt zutage.

Google Suchergebnisse

Im Fall von High-Profile-Zielen kann es passieren, dass der Registrar die Schwachstelle im Schutzschild darstellt. Zone-H stellte fest, dass Registrare in den letzten Monaten eines der Hauptangriffsziele waren.

Wenn Angriffe wie dieser überhaupt einen Zweck haben, dann dienen sie wahrscheinlich als Mahnung, dass wir alle sicherstellen müssen, dass unsere Geschäftspartner unsere eigenen Sicherheitsstandards erfüllen müssen und zwar sowohl On- als auch Offline.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*