Gandi.net: Angreifer klaut interne Login-Daten und leitet Domains auf Malware um

Gandi.net: Angreifer klaut interne Login-Daten und leitet Domains auf Malware um

Jan Schüßler

Ob der Hacker stilecht im Dunkeln an einem Laptop mit beleuchteter Tastatur gesessen hat, wird wohl nie geklärt werden.

(Bild: dpa, Silas Stein)

Ein Angreifer hat die Login-Daten des französischen Registrars Gandi.net für einen seiner technischen Provider erlangt und 751 DNS-Einträge manipuliert, damit sie auf eine schädliche Website umleiten.

Ein Angreifer hat am Freitag der vergangenen Woche die Login-Informationen der franzüsischen Domain-Registrars Gandi.net für einen von dessen technischen Providern verwendet, um die DNS-Einträge von insgesamt 751 Domains zu manipulieren. Dadurch wurde der Traffic zu den betroffenen Domains auf eine schäfliche Website umgeleitet. Betroffen waren laut Gandi.net ausschließlich Adressen mit länderspezifischen Top-Level-Domains.

Einem detaillierten Bericht des Registrars zufolge passierten die Änderungen am Freitag, dem 7. Juli zwischen 10:04 Uhr und 11:44 Uhr mitteleuropäischer Sommerzeit (UTC plus zwei Stunden); um 15:50 Uhr hatte das Team von Gandi.net die Manipulationen rückgängig gemacht. Danach dürfte es noch zwei bis drei Stunden gedauert haben, bis alle lokalen DNS-Server die Korrekturen übernommen und die TTLs (Time-to-Live) abgelaufen waren.

In der Summe dürften die betroffenen Domains bis zu elf Stunden lang auf die schädliche Website geleitet haben. Die schweizer Registry Switch.ch hatte betroffene Kunden gewarnt; sie berichtet in ihrem Blog, dass Besucher der betroffenen Domains auf die Infrasturktur des Exploit-Kits RIG geleitet wurden, solange die Manipulationen online waren. Faule Zertifikate wurden unterdessen laut Gandi.net nicht ausgestellt. Zwar wurden während des Angriffs 18 Zertifikate ausgestellt, sie erwiesen sich aber nach manueller Prüfung als legiti.

Gandi.net legt Wert auf die Feststellung, dass die eigenen Systeme nicht gehackt wurden – die Login-Daten zum technischen Provider seien möglicherweise abhanden gekommen, weil der Login bei diesem über eine ungesicherte Verbindung erfolge. Als Reaktion auf den Angriff hat der Registrar einen Sicherheitsaudit für seine komplette Infrastruktur gestartet. Einen Täter hat man indes noch nicht ausmachen können, wenngleich durchaus Spuren vorliegen.
(jss)

(Visited 8 times, 1 visits today)

Schreibe einen Kommentar