DNSpionage entmystifiziert

Auf dem Papier oder auf der Leinwand wirkt es für den Durchschnittsverbraucher faszinierend, aber wenn Spionage zu einer Realität wird, die sich auf die Identitätsnachweise von Millionen von Menschen auswirkt, ändert sich die Wahrnehmung erheblich.

Es zeigt sich, dass die Realität manchmal interessanter (und beängstigender) ist als die Fiktion. Wenn es um eine neue Variante der Spionage geht, muss man sich nur ansehen, was kürzlich im Nahen Osten mit der Einführung von DNSpionage passiert ist.

Was ist DNSpionage?

Gerade als man dachte, man hätte schon von jeder neuen Variante von Cyberangriffen gehört, wird man mit einer neuen konfrontiert. Die neueste Variante mit dem Namen DNSpionage hat die Landschaft betreten und zahlt sich für Cyberkriminelle bereits aus.

Ein KrebsOnSecurity-Artikel mit dem Titel "A Deep Dive on the Recent Widespread DNS Hijacking Attacks" erklärt, was DNSpionage ist:

"Der DNS-Teil dieses Namens bezieht sich auf das globale "Domain Name System", das als eine Art Telefonbuch für das Internet dient, indem es menschenfreundliche Website-Namen (z.B..com) in numerische Internet-Adressen übersetzt, die für Computer leichter zu verwalten sind.

Durch die Entführung eines DNS-Servers kann bösartiger Code dann E-Mails und andere Anmeldedaten stehlen, indem er den Datenverkehr zu einer von den Cyberkriminellen kontrollierten Internetadresse umleitet.

DNSpionage in Aktion

Leider ist DNSpionage nicht nur eine akademische oder intellektuelle Diskussion darüber, was möglicherweise passieren könnte. Sie wurde Ende 2018 identifiziert und ist immer noch eine Kraft, mit der man rechnen muss. Ein Artikel von Dark Reading mit dem Titel "New Hacker Group Behind 'DNSpionage' Attacks in Middle East" beschreibt, wie diese Malware verbreitet wird und was sie anhand der jüngsten Angriffe im Nahen Osten tut:

"DNSpionage-Malware wird über Microsoft Office-Dokumente verbreitet, die auf zwei bösartigen Websites gehostet werden, die so aussehen, als seien es die Stellenanzeigen von zwei seriösen Unternehmen - Wipro und Suncor Energy. Das gehostete Dokument ist eine Kopie einer legitimen Datei auf der Website von Suncor

Die bösartigen Dokumente enthalten Makros, die bei Ausführung DNSpionage auf dem Zielsystem auslösen. Bei der Malware handelt es sich um einen Remote-Access-Trojaner, der die HTTP- und DNS-Kommunikation mit den Angreifern unterstützt und ausgeführt wird, sobald das Microsoft Office-Dokument geschlossen wird. Er scheint darauf ausgelegt zu sein, Daten aus dem kompromittierten System zu extrahieren und sie an das Kommando- und Kontrollsystem zu senden.

Wir haben kürzlich darüber geschrieben, wie Hacker ganze Länder ins Visier nehmen, und dies ist ein weiteres Beispiel dafür, wie man Schaden in großem Maßstab anrichten kann.

Seien Sie kein Opfer

Um Ihr Unternehmen zu schützen, benötigen Sie eine Cybersicherheitsstrategie, die die Identifizierung und Beseitigung von ausführbarem Code berücksichtigt, der in eigentlich harmlosen Inhalten versteckt ist.

Die Wahl von Lösungen, die jede einzelne Codezeile auswerten, gut dokumentierte Umgehungstechniken unwirksam machen und gleichzeitig unabhängig vom Dateityp, der Art der Client-Anwendung oder dem im Unternehmen verwendeten Client-Betriebssystem sind, ist das beste Kriterium für die Technologieauswahl.

Die ausgewählten Lösungen sollten unabhängig von Betriebssystem, CPU-Architektur und Funktion (Client, Server) des Zielrechners Schutz bieten.