Skip to content

Wasserloch-Angriffe, Teil 2: Ein Angriff mit gefälschter Website

Ab dieser Folge geht es weiter um Wasserloch-Angriffe. Die Veröffentlichung des erste Teils ist ja schon einige Zeit her, aber aktuelle Themen gehen bekanntlich vor. Wie angekündigt, werden ab dieser Folge einige Wasserloch-Angriffe genauer betrachtet.

Ein Wasserloch-Angriff mit gefälschter Website

Los geht es mit einem ungewöhnlichen Wasserloch-Angriff: Dem schon im ersten Teil vorgestellten Angriff über eine nachgeahmte Website der GIFAS (Groupement des Industries Françaises Aéronautiques et Spatiales) auf gifas.assso.net (Original: gifas.asso.fr).

Die Verwendung einer gefälschten Website ist für einen Wasserloch-Angriff äußerst ungewöhnlich. Normalerweise werden von den Zielpersonen üblicherweise besuchte Websites, eben das "Wasserloch", kompromittiert und danach für eine Drive-by-Infektion präpariert. Beim Einsatz einer gefälschten Website gehen die Angreifer das Risiko ein, dass die gewünschten Zielpersonen die Seite (also das quasi neu ausgehobene "Wasserloch") gar nicht finden.

Normalerweise ruft man oft genutzte Websites aus den Bookmarks auf, die regelmäßigen Besucher der Website der GIFAS werden die gefälschte Website also kaum erreichen. Auf der landen nur Besucher, die die Domain von Hand eingeben und sich dabei vertippen. Aber sehen wir das doch mal realistisch: Wenn ich als Mitarbeiter eines französischen Luft- und/oder Raumfahrtkonzerns eine französische Website zur Luft- und Raumfahrt aufrufe, dann doch wohl mit der französischen TLD .fr. Immerhin reden wir hier von Frankreich, da hatten offizielle Institutionen durch ihre "Französisch hat Vorrang"-Regelung ja anfangs teilweise nicht mal englischsprachige Versionen ihrer Websites. Also wird ein französischer Industrieverband mit ziemlicher Sicherheit eine Website unter der französischen TLD haben.

Und wenn ich nicht .fr nehme, dann doch wohl eher .org oder .com, aber doch nicht .net. Was hat die "Groupement des Industries Françaises Aéronautiques et Spatiales" mit dem Netz zu tun? Aber OK, so lange es die .org- und .com-Domain nicht gibt, landet man ja vielleicht irgendwann bei .net und damit auf der gefälschten Website. Die Frage ist nur, ob die so erreichten Besucher wirklich die sind, hinter denen die Angreifer her sind. Das gleiche gilt für Besucher, die über Suchmaschinen kommen (sofern die gefälschte Website überhaupt von den Suchmaschinen indexiert wurde, ich weiß nicht, wie lange die Online war).

Insgesamt sieht mir das wie eine Notlösung aus. Vermutlich war die richtige Website der GIFAS zu gut gesichert, so dass die Angreifer sie nicht kompromittieren konnten und auf die gefälschte Version ausgewichen sind. Was trotz aller Bedenken meinerseits nicht zwingend dazu führt, dass sie ihr Ziel nicht vielleicht trotzdem erreicht haben.

Unnötig komplizierte Schadsoftware?

Denn der Angriff verfolgte bekanntlich nur ein Ziel: Die Angreifer wollten die Zugangsdaten für die Server eines "multinational aircraft and rocket engine manufacturer" ausspähen. Und dafür reicht es ja aus, wenn ein einziger Benutzer, der diese Zugangsdaten kennt, Opfer des Angriffs wird.

Der übrigens meines Erachtens unnötig kompliziert aufgebaut ist. Denn der eingeschleuste Schadcode ergänzte die Hosts-Datei der infizierten Rechner um Einträge für die Domains dieser Server. Dadurch wird sicher gestellt, das keine DNS-Probleme den Zugriff auf diese Domains behindern (es wurden die korrekten IP-Adressen eingetragen). Aber wie oft gibt es denn DNS-Probleme? Gut, ich hatte bei der Telekom schon Probleme mit dem DSL-Zugang, weil der DNS-Server nicht verfügbar war. Aber das kommt vielleicht alle paar Jahre ein mal vor. Ist "das Internet" in Frankreich wirklich so viel schlechter als in Deutschland, dass man da als Schadsoftware eine Absicherung gegen einen DNS-Ausfall braucht? Das kann ich mir eigentlich nicht vorstellen.

Ich vermute daher, dass die Manipulation der Hosts-Datei entweder eine in der verwendeten Schadsoftware (vielleicht eine Baukasten-Lösung?) aus welchen Gründen auch immer sowieso vorhandene Funktion war, die man dann eben auch genutzt hat. Oder dass die Manipulation Teil eines weiteren, nicht beobachteten oder auch nicht durchgeführten Angriffs war. Denn so, wie sich der Angriff darstellt, war sie überflüssig.

Der Rest ist quasi "Standard": Jedes Mal, wenn sich die kompromittierten Rechner mit den Remote-Access-Servern des Unternehmens verbanden, konnten die Angreifer über die eingeschleuste Schadsoftware die verwendeten Zugangsdaten ausspähen. Wie es dann weiter geht, dürfte klar sein: Mit den ausgespähten Zugangsdaten wird auf die Server zugegriffen und dort ausgespäht, was die Angreifer eigentlich wissen wollten.

Auch in der nächsten Folge geht es weiter um Wasserloch-Angriffe.

Carsten Eilers

Trackbacks

Keine Trackbacks