Skip to main content

Der Hosting-Provider LeaseWeb fällt dem DNS-Hijacking zum Opfer

Der Hosting-Provider LeaseWeb wurde zum neuesten hochkarätigen Unternehmen, dessen Domain-Name von Angreifern übernommen wurde, und hob dabei hervor, dass DNS (Domain Name System) Entführung ist eine erhebliche Bedrohung, selbst für technisch versierte Unternehmen.

Für eine kurze Zeit am Samstag wurde leaseweb.com, die Hauptwebsite des Unternehmens, an eine IP-Adresse umgeleitet, die nicht unter seiner Kontrolle stand. Dies war das Ergebnis eines sogenannten DNS-Hijacking-Angriffs, bei dem es Angreifern gelungen ist, die autorisierten Nameserver für den Domainnamen des Unternehmens zu ändern.

Aufgrund der Art und Weise, wie DNS-Einträge über Internetserver verbreitet werden und einige DNS-Resolver cachen die Datensätze für eine längere Zeit als andere, nicht alle Benutzer waren von dem Vorfall betroffen.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Allerdings waren die Benutzer, die betroffen waren und versucht, die Firma zu besuchen Die Website wurde auf eine Webseite umgeleitet, die eine Hacker - Gruppe namens KDMS Team für den Angriff angab.

Die Rogue - Seite enthielt Nachrichten von den Hackern, darunter "Was sind Sie, ist ein Hosting - Unternehmen ohne Sicherheit" und "wir besitzen alle Ihre gehostete Websites. "

" Unsere bisherigen Sicherheitsuntersuchungen zeigen, dass auf keine anderen Domains als leaseweb.com zugegriffen und diese geändert wurden ", sagte LeaseWeb am Sonntag nach der Lösung des Problems in einem Blogpost. "Keine internen Systeme wurden kompromittiert. Eine der Sicherheitsmaßnahmen, die wir eingeführt haben, besteht darin, Kundendaten getrennt von öffentlich zugänglichen Servern zu speichern. wir haben keine Hinweise darauf, dass Kundendaten durch diesen DNS - Hijack kompromittiert wurden. "

LeaseWeb ist ein großer Anbieter von Public Cloud -, Private Cloud -, dedizierten Hosting -, Colocation - und Content - Delivery - Services mit Niederlassungen in den USA, Deutschland und den USA Niederlande. Es hat mehr als 15.000 Kunden, die von kleinen Unternehmen bis zu großen Unternehmen reichen und behauptet, fast 4 Prozent des weltweiten IP-Verkehrs zu verwalten.

Eine Nachricht von den Hackern.

Nun, das ist peinlich

LeaseWeb untersucht noch, wie Angreifer hat zwar die DNS-Einträge für seinen Domainnamen geändert, scheint aber Zugriff auf das Domain-Administrator-Passwort des Domain-Registrators zu erhalten, von dem LeaseWeb seine Domain gekauft hat.

Spear-Phishing könnte Teil des Angriffs gewesen sein, aber bei An diesem Punkt laufen die Ermittlungen, so dass es keine definitive Antwort gibt, sagte Alex de Joode, leitender Anwalt von LeaseWeb am Montag per E-Mail.

Aufgrund dieses Angriffs wurden E-Mails an @ leaseweb.com-Adressen gesendet, während die Rogue-DNS-Einträge vorhanden waren Ort hat den E-Mail-Server des Unternehmens nicht erreicht. Auf dem bösartigen Web-Server, auf den die Angreifer auf die Domäne hingewiesen hatten, war der E-Mail-Dienst nicht konfiguriert, so dass keine E-Mail-Nachrichten kompromittiert wurden.

Es gibt auch keine Hinweise darauf, dass die betrügerische Webseite Malware bedient oder zum Stehlen von Anmeldeinformationen verwendet wurde. sagte er.

Es gab einige Spekulationen, dass Angreifer eine kürzlich offenbarte Schwachstelle in der WHMCS Billing- und Support-Software ausnutzen könnten, um den Angriff durchzuführen. Diese Software ist besonders bei Webhosting-Unternehmen beliebt.

LeaseWeb selbst verwendet WHMCS nicht, aber das Unternehmen weiß nicht, ob die Software von seinem Domain-Registrar verwendet wird, sagte de Joode.

"Wir haben sofort Maßnahmen ergriffen um eine Wiederholung dieses Vorfalls kurzfristig zu verhindern ", sagte er. "Wir werden auch unsere Sicherheitsrichtlinien für Domains aktualisieren, basierend auf den Ergebnissen der aktuellen Untersuchung."

Die Entstellung von Websites durch die Entführung der DNS-Einträge für ihre Domainnamen, um sie auf Rogue-Webserver umzuleiten, ist eine beliebte Technik unter Hackern. Angreifer erhalten in der Regel Zugriff auf das Domänenadministrator-Panel, indem sie die Anmeldeinformationen von einem autorisierten Benutzer phishing oder indem sie Domänen-Registrar-Mitarbeiter austricksen, um das Passwort für das Zielkonto zurückzusetzen.

Im August nutzte eine Hacker-Gruppe namens Syrian Electronic Army (SEA) Spear-Phishing, um die Domain-Namen nytimes.com, sharethis.com, huffingtonpost.co.uk, twitter.co.uk und twimg.com vorübergehend zu entführen. SEA unterstützt öffentlich den syrischen Präsidenten Baschar al-Assad und seine Regierung und die meisten ihrer Angriffe sind eine politische Erklärung.

LeaseWeb weiß derzeit nicht, warum es vom Team KDMS angegriffen wurde, sagte de Joode.

DNS-Hijacking kann viel schlimmere Folgen als die Unkenntlichmachung einer Website. Angreifer könnten diese Technik verwenden, um Benutzer zu einer Phishing-Version der Website zu leiten, um ihre Anmeldeinformationen zu stehlen, oder sie könnten Exploit-Kits verwenden, um Besucher des Rogue-Webservers mit Malware zu infizieren.

Um Rogue-Modifikationen von Domaininhabern zu verhindern kann ihre Registrare bitten, Registry-Sperren für ihre Domains einzurichten. Diese Sperre wird auf der Registrierungsebene platziert - mit den Unternehmen, die die .com-, .net-, .org- und andere Domänenerweiterungen verwalten - und macht die Änderung von DNS-Datensätzen selbst dann schwieriger, wenn ein Domänenregistrierer kompromittiert wird.