DNS-Hijacking: Hacker unterwandern Internetanbieter

Lesezeit
1 Minute
Bis jetzt gelesen

DNS-Hijacking: Hacker unterwandern Internetanbieter

05.08.2024 - 09:20
Veröffentlicht in:

Sicherheitsforscher haben eine ausgeklügelte Cyberattacke aufgedeckt, bei der Hacker die DNS-Infrastruktur eines Internetanbieters kompromittierten, um Schadsoftware auf den Geräten ahnungsloser Nutzer zu installieren.

Die Sicherheitsfirma Volexity entdeckte einen Angriff, bei dem die als "StormBamboo" bekannte Hackergruppe DNS-Anfragen auf ISP-Ebene manipulierte, um bösartige Software auf Mac- und Windows-Systeme zu verteilen.

Die Hacker nutzten dabei eine besonders raffinierte Methode: Sie zielten auf Programme ab, die unsichere Update-Mechanismen verwenden, insbesondere solche, die HTTP statt HTTPS nutzen und digitale Signaturen nicht überprüfen. Wenn diese Applikationen versuchten, Updates herunterzuladen, installierten sie aufgrund der DNS-Umleitung stattdessen Malware wie MACMA und POCOSTICK von Servern der Angreifer.

In dem Fall betroffen war die Software 5KPlayer. Die Hacker ersetzten im Zuge des fehlgeleiteten Updates dann die legitime Konfigurationsdatei durch eine modifizierte Variante. Dies führte dazu, dass die Software ein mit Malware infiziertes File herunterludt und ausführte. Die eingeschleuste Schadsoftware diente dann wiederum als Sprungbrett für die Installation weiterer Schadsoftware, angepasst an das jeweilige Betriebssystem des Opfers.

In einem Fall beobachteten die Forscher, wie StormBamboo nach der erfolgreichen Kompromittierung eines macOS-Geräts eine bösartige Google-Chrome-Erweiterung namens RELOADEXT installierte. Diese Erweiterung tarnte sich als Kompatibilitätstool für den Internet Explorer, hatte aber tatsächlich den Zweck, Browser-Cookies zu stehlen und an ein vom Angreifer kontrolliertes Google Drive-Konto zu senden.

Die Sicherheitsexperten betonen die hohe Kompetenz und Aggressivität von StormBamboo. Die Gruppe investiert offenbar erhebliche Ressourcen in die Entwicklung verschiedener Malware-Varianten für unterschiedliche Plattformen. Die Tatsache, dass die Angreifer in der Lage waren, die Infrastruktur eines Internetanbieters zu kompromittieren, unterstreicht die Raffinesse und potenzielle Gefährlichkeit dieser Cyberkriminellen. Der Fall verdeutlicht die Notwendigkeit verbesserter Sicherheitsmaßnahmen bei Software-Updates und DNS-Infrastrukturen.

Ähnliche Beiträge

Neue Phishing-Welle zielt auf OneDrive-Nutzer

Cybersicherheitsexperten des Trellix Advanced Research Center haben in den letzten Wochen eine ausgeklügelte Phishing-Kampagne entdeckt, die auf Nutzer von Microsoft OneDrive abzielt. Die Angreifer setzen dabei auf raffinierte Social-Engineering-Taktiken, um Opfer zur Ausführung eines PowerShell-Skripts zu verleiten und damit deren Systeme zu kompromittieren.