ICANN klärt über DNS Hijacking auf
Das Security Stability and Advisory Committee (SSAC) der ICANN arbeitet derzeit die Angriffe auf Mail- und VPN-User im Nahen Osten auf. Beim ICANN treffen in Kobe/ Japan wurden erste Analysen zu diesen Angriffen vorgestellt. Gleichzeitig forderte das Komitee mehr „Werbung für Absicherungsmechanismen“ und Schutz der Netzwerke.
Die Attacke im Nahen Osten läuft seit Aussagen unterschiedlicher Experten von Microsoft und CrowdStrike bereits seit Anfang 2017 und zielt auf Firmen und Regierungsstellen im im Irak, Libanon, Ägypten und den Staaten der arabischen Halbinsel ab. Die Phishing Attacken zielen auf Mitarbeiter dieser Organisationen, Behörden und Firmen ab. Es wurden Zugangsdaten von DNS-Administratoren gestohlen und danach genutzt, um über Registries und Registrare Domain-Einträge etwa von Mail-Servern auf eigene Server umzuleiten. Im Zeitverlauf wurden die Attacken variiert, doch laut SSAC manipulierten die Angreifer „sowohl Nameserver-Records als auch Glue- und DS-Records“.
Angreifer nicht bekannt?
Fragen zur Identität der Angreifer beantwortete Sicherheitsexperte Timothy April, Mitarbeiter von Akamai und Mitglied im SSAC während des Symposiums nicht. Laut seinen Aussagen sind nach wie vor mehrere Organisationen mit Analysen der Hackerangriffe beschäftigt und deshalb sind die bisherigen Aussagen nicht vollständig.
Zu den Angriffen äußerte sich auf dem Symposium auch Harald Alvestrand, ehemaliger Vorsitzender der Internet Engineering Task Force und beratendes Mitglied im ICANN-Vorstand. Er zeigte sich besorgt über Ausmaß und „Qualität“ der Hackerangriffe und empfahl allen Nutzern die Aktivierung des Registry Locks. Damit werden Änderungen in oder an Domains solange blockiert, bis eine Freigabe durch den rechtmäßigen Nutzer erfolgt. Das sollte Angreifer ausbremsen. Zusammen mit anderen Sicherheitsexperten forderte Alvestrand in Kobe, die Festsetzung des Registry-Locks als Standard für alle Domains.
Die Registries wandten ein, dass die Aktivierung des Registry-Locks nachträglich mit hohem Aufwand verbunden und die ICANN in diesem Punkt nicht zuständig sei, da jede Registry eigene Tarifmodelle und Konditionen habe, die solche Aktivierungen nicht vorsehen.