Hacker stiehlt Login-Daten von Gandi.net und leitet Domains auf Malware um

15.07.2017 14:34 Uhr heise

Gandi.net: Angreifer klaut interne Login-Daten und leitet Domains auf Malware um

Es ist nicht bekannt, ob der Täter bei der Tat tatsächlich ein Klischee bediente und im Dunkeln mit einer beleuchteten Tastatur arbeitete. Was jedoch sicher ist: Ein Hacker erbeutete die internen Login-Daten des französischen Registrars Gandi.net. Die Folge: Domains wurden auf schädliche Malware umgeleitet.

Ein Angreifer hat am Freitag der vergangenen Woche die Login-Informationen der französischen Domain-Registrars Gandi.net für einen von dessen technischen Providern verwendet um die DNS-Einträge von insgesamt 751 Domains zu manipulieren. Dadurch wurde der Traffic zu den betroffenen Domains auf eine schädliche Website umgeleitet. Betroffen waren laut Gandi.net ausschließlich Adressen mit länderspezifischen Top-Level-Domains.

Einem detaillierten Bericht des Registrars zufolge passierten die Änderungen am Freitag, dem 7. Juli zwischen 10:04 Uhr und 11:44 Uhr mitteleuropäischer Sommerzeit (UTC plus zwei Stunden); um 15:50 Uhr hatte das Team von Gandi.net die Manipulationen rückgängig gemacht. Danach dürfte es noch zwei bis drei Stunden gedauert haben, bis alle lokalen DNS-Server die Korrekturen übernommen und die TTLs (Time-to-Live) abgelaufen waren.

In der Summe dürften die betroffenen Domains bis zu elf Stunden lang auf die schädliche Website geleitet haben. Die schweizer Registry Switch.ch hatte betroffene Kunden gewarnt; sie berichtet in ihrem Blog. Dass Besucher der betroffenen Domains auf die Infrastruktur des Exploit-Kits RIG geleitet wurden, solange die Manipulationen online waren. Faule Zertifikate wurden unterdessen laut Gandi.net nicht ausgestellt. Zwar wurden während des Angriffs 18 Zertifikate ausgestellt sie erwiesen sich aber nach manueller Prüfung als legitim.

Gandi.net legt Wert auf die Feststellung, dass die eigenen Systeme nicht gehackt wurden ? die Login-Daten zum technischen Provider seien möglicherweise abhanden gekommen, weil der Login bei diesem über eine ungesicherte Verbindung erfolge. Als Reaktion auf den Angriff hat der Registrar einen Sicherheitsaudit für seine komplette Infrastruktur gestartet. Einen Täter hat man indes noch nicht ausmachen können obwohl durchaus Spuren vorliegen.

Zuletzt aktualisiert am 26.07.2023 11:19 Uhr

Switch
DNS

Kommentare

Ähnliche News

UDPoS-Malware: Kreditkarten-Daten gestohlen und als DNS-Traffic getarnt

Spezielle Malware zielt auf Point-of-Sale-Systeme ab und stiehlt Kreditkarten-Daten. Eine neue Variante namens UDPoS tarnt die gestohlenen Daten als DNS-Traffic um sich zu verstecken.

Crunchyroll-Webseite kurzzeitig von Malware betroffen

Die beliebte Anime-Plattform Crunchyroll wurde am vergangenen Wochenende Ziel einer DNS-Hijacking-Attacke, bei der Angreifer die Webseite über Umwege manipulierten und als Mediaplayer getarnte Malware verteilten.

PowerLess Malware zielt jetzt auch auf Telegram-Daten

PowerLess: Malware hat es jetzt auch auf Telegram-Daten abgesehen

Die Hacker haben eine neue Variante der Malware mit dem Namen "PowerLess" entwickelt die nun in der Lage ist, Nutzerdaten aus der Telegram-Desktopanwendung zu stehlen und Screenshots zu machen. Die Malware ist sehr schwer zu erkennen und kann ebenfalls Audio aufzeichnen.

EvilExtractor-Malware stiehlt mehr als nur Passwörter

EvilExtractor: Windows-Malware stiehlt mehr als nur Passwörter

Eine neu entdeckte Windows-Malware namens EvilExtractor kann nicht nur Passwörter stehlen, allerdings ebenfalls Browserdaten und lokale Dateien abrufen und bei Bedarf das gesamte System verschlüsseln.

Bank-Überfall im Netz: Cyberkriminelle übernehmen Domain-Infrastruktur

Cyberkriminelle haben in Brasilien die Domain-Infrastruktur einer Bank gekapert und so die Kontrolle über alle Domains des Geldinstitutes übernommen. Diese Taktik ist eine neue Stufe der Online-Kriminalität, bei der nicht weiterhin nur einzelne Kunden, allerdings ganze Banken zum Ziel werden.