Google Developers nicht sicher?

13. Oktober 2014 | Von | Kategorie: Domain News, Domain Sicherheit

Google Developers als neues Domain-Tool für Cyber-Kriminelle?

Nicht ganz, aber zumindest haben Cyber-Kriminelle es geschafft dort bisher unbekannte Schwachstellen auszunutzen, um Unternehmens-Domains anzugreifen und Firmendaten zu sammeln.

Google Developers ist erfahrenen Webentwicklern wohl bekannt, und zwar als hilfreiches Tool um Domainangebote zu entwickeln, umzusetzen und zu implementieren. Dass Internetkriminelle dies dazu nutzen können, um an Unternehmen anzugreifen, das war bisher niemandem aufgefallen. Bisher, denn das Sicherheitsunternehmen FireEye entdeckte im März 2014 die Schwachstellen, die Google Developers und den Domain Name Service von Hurricane Electric betrafen.

Verdächtiger DomainTraffic war das Zeichen und gefunden wurde eine Infizierung mit dem Domain-Remote-Access-Tool (RAT) Kaba. Kaba stellt eine Variante des PlugX Fernwartungstools dar. Die angegriffenen Ziele lagen in den USA und in Asien. Die Angreifer benutzten Google Developers und den Domain Name Service und legitime digitale Domainzertifikate, um den Command-and-Controle-Datenverkehr zu tarnen. Finanzinstituten, Medienunternehmen, der asiatischen Regierungsorganisation und den Internet-Infrastruktur-Providern viel der so getarnte Datenverkehr zwischen Malware und Domain-Server nicht auf. Es wurde der Anschein erweckt, als ob der Traffic der Domain zu anderen Domains wie beispielsweise adobe.com, outlook.com und update.adobe.com, also bekannten Webseiten, führte.

Während FireEye die betroffenen Unternehmen Hurricane Electric und Goggle informierte, reagierten diese sofort und entfernten die vorhandenen Mechanismen.

Da Kriminelle aber direkte Domain-DNS-Abfragen verwenden, um ihre Angriffe durchzuführen rät FireEye allen Chief Information Security Officers keinen direkten Internetzugriff mehr zu erlauben und Malware-Scanner zu benutzen. Diese erkennen Multi-Vektor-Ausführungen und Multi-Stage-Malware-Ausführungen.

Besonders interessant dürfte für alle, die mit der Informationssicherheit in Unternehmen beschäftigt sind, die von FireEye eingerichtete Seite http://www.fireeye.com/blog/corporate/2014/08/operation-poisoned-hurricane-lessons-for-cisos.html sein, denn diese informiert ausführlich darüber, welche Taktik „Operation Poisoned Hurricane“ anwendet und wie man dieser begegnen kann und soll.

Ganze 18 Domain-Namen wurden laut FireEye von einem einzelnen Angreifer benutzt, um den Angriff zu tarnen und dies viel aufgrund der legitimen digitalen Domain-Zertifikaten selbst erfahrenen Netzwerkadministratoren nicht auf. Da die Domaindatenströme nicht einmal einen Verdacht erregten, ist umso mehr Vorsicht geboten.

Entwendete Unternehmensdaten stellen für jede Firma ein großes Risiko dar, sei es, wenn es dabei um Produktinformationen geht oder um Daten, die die Unternehmensstruktur angreifen. Noch gefährlicher wird es aber, wenn dem betroffenen Unternehmen gar nicht auffällt, dass die eigene Domain einem Angriff zum Opfer gefallen ist. Solange wie der Angriff gar nicht bekannt wird, solange können auch Daten entwendet werden und das das Erkennen offenbar sehr schwierig ist, dies zeigte dieser Fall. Zudem beschäftigt nicht jedes Unternehmen gleich einen eigenen Netzwerkadministrator oder gar einen Chief Information Security Officer.

Zwar wurde nur bekannt, dass Unternehmen aus den USA und Asien Ziele des Domain-Angriffes waren, doch niemand weiß, ob sich dies nicht schon bald in Deutschland wiederholen kann. Bekannt ist mittlerweile ja, dass sobald eine Schwachstelle geschlossen wurde, Kriminelle mit der notwendigen Energie gleich mehrere neue Schwachstellen finden und diese dann umgehend ausnutzen.

Meinung von Domainsmalltalk:
Hier kann nur jedem Unternehmen dringend geraten werden, in die Sicherheit der eigenen Domain und damit auch in die Sicherheit der Unternehmensdaten zu investieren. Firmen, die hier sparen, sparen in der heutigen Zeit, sofern sie online präsentiert werden wollen, an der falschen Stelle, denn wenn die Daten erst einmal weg sind, ist es zu spät. Welches genaue Ziel die Kriminellen aus dem Cyberspace verfolgten, ist noch nicht bekannt, wohl aber, dass es kein gutes gewesen sein kann.

Autor: Wolfgang Wild, Magazin Domain Smalltalk

Schreibe einen Kommentar