22 MAI 2025
Cybergang kapert Domains grosser Konzerne und Behörden
Forscher warnen! Falsch konfigurierte DNS-Einträge können fatale Folgen haben. Cyberkriminelle nutzen diese aus, um Besucher prominenter Webseiten zu betrügen.
Einer Hazy Hawk genannten Gruppe von Cyberkriminellen ist es offenbar in den vergangenen Jahren gelungen, Domains zahlreicher großer Konzerne, Behörden und Bildungseinrichtungen zu kapern und sie für böswillige Zwecke wie Betrug oder die Verbreitung von Malware zu missbrauchen. Wie Sicherheitsforscher von Infoblox in einem Blogbeitrag erläutern, nutzen die Angreifer dafür Fehlkonfigurationen in DNS-Einträgen aus.
Im Fokus stehen dabei sogenannte CNAME-Einträge, die üblicherweise einen Domain-Alias mit einer anderen Domain verbinden. Werden diese Einträge nicht sauber gepflegt, so kann es manchmal sein, dass die Domain, auf die verwiesen wird, gar nicht (mehr) registriert ist. In diesem Fall kann ein Angreifer die Domain übernehmen und dadurch den an den Alias adressierten Datenverkehr auf ein eigenes System umleiten.
Was sich zunächst einfach anhört, erfordert jedoch eine gewisse Vorarbeit. Die große Herausforderung besteht wohl darin, die fehlkonfigurierten CNAME-Einträge zu finden. Selbst mit kostenlosen und öffentlich zugänglichen Tools sei dafür „ein gewisser Aufwand“, „Raffinesse“ und ein „umfangreicher passiver Zugang zu DNS-Daten“ erforderlich, betonen die Forscher. Details zur Vorgehensweise nennen sie aus Sicherheitsgründen nicht.
Pornos auf der CDC-Website?
Auf die Angriffe von Hazy Hawk aufmerksam wurden die Infoblox-Forscher durch eine Warnung des bekannten Cybersecurity-Journalisten Brian Krebs. Dieser wies das Forscherteam vor einigen Monaten darauf hin, dass über cdc.gov, die Domain der US-Behörde CDC (Centers for Disease Control and Prevention), auf pornografische Inhalte verwiesen wurde. Verbreitet wurden die fragwürdigen Inhalte über die Subdomain ahbazuretestapp.cdc.gov.
Bei weiteren Recherchen stellte sich heraus, dass die CDC wohl die Nutzung einer Azure-Testanwendung eingestellt und den zugehörigen CNAME-Eintrag nicht korrigiert hatte. Dadurch verwies ahbazuretestapp.cdc.gov (Alias) weiterhin auf die nicht mehr von der CDC kontrollierte Domain ahbdotnetappwithsqldb.azurewebsites.net, die die Angreifer somit übernehmen konnten – und damit auch den zugehörigen Datenverkehr.
Da auf diesem Wege gekaperte Domains bei Suchmaschinen wie Google in der Regel als sehr vertrauenswürdig gelten, erreichen die Angreifer damit auch häufig ein gutes Ranking in den Suchergebnissen. Die Folge sind hohe Besucherzahlen auf betrügerischen Webseiten, die mit gänzlich neuen und unbekannten Domains wesentlich schwieriger zu erreichen sind.
Die Infoblog-Forscher listen in ihrem Blogbeitrag noch zahlreiche weitere Domains auf, bei denen der geschilderte Angriff seit Dezember 2023 beobachtet wurde. Einige davon sind weitläufig bekannt und gehören zu prominenten Marken, Konzernen oder Behörden – darunter beispielsweise Deloitte.com, Ted.com, Unicef.org, Anker.com, Bose.com, Berkeley.edu, Eset.com, Ottogroup.com, Panasonic.com, Michelin.co.uk, Mgmresorts.com und Pearson.com.
Wir bieten einen SaaS-Service zusammen mit NodeZro, durch welchen eine umfassende Analyse des Namensraums und der Lieferantenkette laufend durchgeführt und mögliche Risiken aufgezeigt werden.
Was „forgotten DNS records“ verursacht lesen Sie im Infobox-Beitrag detailiert und mit technischen Ausführungen.
Kontaktieren Sie uns für einen weiteren Austausch: let.us.help@globalipaction.swiss
