[English]Gerade sind massive Cyber-Angriffe auf Regierungen und andere Organisationen in Europa und im Nahen Osten öffentlich geworden. Diese werden als das Werk von Hackern angesehen, die im Interesse der türkischen Regierung handeln.
Anzeige
Ich bin die Nacht über den nachfolgenden Tweet eines Reporters der Nachrichtenagentur von Reuters auf die Geschichte hier aufmerksam geworden.
A massive cyber espionage campaign, which we found so spooked US intelligence that it changed how the government handles DNS registration, was the work of hackers aligned with the Turkish government https://t.co/5jg4WFFI5W
— Chris Bing (@Bing_Chris) January 27, 2020
Reuters kommt jetzt mit der Geschichte, die man exklusive veröffentlicht habe, an die Öffentlichkeit. Als der Name "SeaTurtle" im Reuters-Artikel fiel, klingelte aber was im Hinterkopf.
Rückblick: Ein alter Blog-Beitrag
Die in Sicherheitskreisen als "SeaTurtle" gehandelte Kampagne hatte ich bereits im März 2019 im Artikel Sea Turtle: Cisco Talos deckt DNS Hijacking-Kampagne auf beschrieben. Dort hieß es, dass die Kampagne auf öffentliche und private Einrichtungen, einschließlich nationaler Sicherheitsorganisationen, die hauptsächlich im Nahen Osten und Nordafrika ansässig sind, zielt. Offenbar ist auch Europa mit als Ziel dazu gekommen.
Reuters schreibt (nach Auswertung von Web-Fundstellen), dass die Hacker mindestens 30 Organisationen angegriffen haben. Darunter sich auch Regierungsministerien, Botschaften und Sicherheitsdienste sowie Unternehmen und andere Gruppen. Zu den Opfern gehörten laut Reuters auch die E-Mail-Dienste der zypriotischen und griechischen Regierung sowie der nationale Sicherheitsberater der irakischen Regierung.
Die Kampagne begann voraussichtlich bereits im Januar 2017 und dauerte bis zum ersten Quartal 2019. Die Cisco Talos Untersuchung ergab, dass mindestens 40 verschiedene Unternehmen in 13 verschiedenen Ländern während dieser Kampagne gefährdet waren. Cisco Talos ist sich recht sicher, dass diese Angriffe von einem fortgeschrittenen, staatlich geförderten Akteur durchgeführt werden, der einen dauerhaften Zugang zu sensiblen Netzen und Systemen anstrebt.
Die Akteure hinter dieser Kampagne konzentrierten sich darauf, DNS-Hijacking als Mechanismus zur Erreichung ihrer Endziele zu nutzen. DNS-Hijacking tritt auf, wenn der Akteur DNS-Namensaufzeichnungen illegal ändern kann, um Benutzer auf von Akteuren kontrollierte Server zu verweisen. Das US Department of Homeland Security (DHS) warnte am 24. Januar 2019 vor dieser Aktivität. Ein Angreifer kann die Benutzer beim Besuch von Internetseiten umleiten und könnte sogar gültige Verschlüsselungszertifikate für die Domainnamen einer Organisation erhalten. Die technischen Details habe ich seinerzeit im Artikel Sea Turtle: Cisco Talos deckt DNS Hijacking-Kampagne auf beschrieben.
(Quelle: Pexels Markus Spiske CC0 Lizenz)
Anzeige
Reuters bringt neue Informationen
Während Cisco Talos in seinem Artikel 2019 nur von staatsnahen Hackern schreibt, zitiert Reuters zwei britische und einen amerikanischen Offiziellen. Deren Angaben zufolge tragen die Sea Turtle-Cyber-Angriffe die Merkmale einer staatlich unterstützten Cyber-Spionageoperation, die durchgeführt wurde, um türkische Interessen zu fördern. Die Quellen stützen diese Schlussfolgerung auf drei Elementen:
- die Identitäten und Standorte der Opfer, zu denen auch die Regierungen von Ländern gehören, die für die Türkei geopolitisch bedeutsam sind;
- Ähnlichkeiten mit früheren Angriffen, die ihrer nach Meinung der Quellen, die von der Türkei aus registrierte Infrastruktur nutzten;
- und Informationen aus vertraulichen geheimdienstlichen Dossier und Einschätzung, die die Türkei wohl bis ins Detail zurückweist.
Laut den Reuters-Quellen ist unklar, welche konkreten Personen oder Organisationen für die Kampagne verantwortlich waren. Die Quellen glauben aber, dass die Angriffswellen miteinander verbunden waren. Denn diese benutzten alle die gleichen Server oder andere Infrastrukturen.
Das türkische Innenministerium lehnte einen Kommentar ab. Ein hoher türkischer Beamter antwortete nicht direkt auf Fragen zur Kampagne, sagte aber, dass die Türkei selbst häufig Opfer von Cyberangriffen sei.
Die zypriotische Regierung sagte in einer Erklärung, dass "die zuständigen Behörden sofort von den Angriffen wussten und sich bemühten, sie einzudämmen". Aus Gründen der nationalen Sicherheit wolle man sich nicht zu Einzelheiten äußern.
Regierungsquelle aus Athen sagten, sie hätten keine Beweise dafür, dass das E-Mail-System der griechischen Regierung kompromittiert wurde. Bei diesem Satz ging mir sofort 'hallo, da war doch was, was ein Blog-Leser aus Griechenland dir gesteckt hat' durch den Kopf. Kurze Suche hier im Blog, Bingo, ich kann den Artikel Griechenlands Top-Level Domain Registrar gehackt präsentieren. Dort hatte ich gemeldet, dass Hacker der Sea Turtle-Gruppe bei Griechenlands Top-Level Domain Registrar eingebrochen sind und ihre Angriffe mit DNS-Hijacking-Angriffen fortsetzen. Mit dem Griechenland-Hack ist der staatlich geförderten Gruppe ein großer Coup gelungen. Die irakische Regierung reagierte nicht auf Anfragen von Reuters.
Der Reuters-Artikel enthält noch weitere Details zu Opfern und deren per DNS umgeleiteten Internetverkehr. Könnt ihr bei Interesse dort nachlesen. Abschließend: Eigentlich wollte ich die Nacht und heute über diverse andere Themen im Microsoft-Umfeld bloggen. Aber nun ist es schon eine ganze Latte an Sicherheitsthemen geworden – die Einschläge kommen näher. Aber heute ist europäischer Datenschutztag – da passt das schon.
2015
