Hacker verschafften sich Zugriff auf alle .edu-Domains

In einer Veröffentlichung bekennt sich die Hackergruppe Hack The Planet (HTP) dazu, Ende Januar ins Rechnersystem des MIT (Massachusetts Institute of Technology) eingedrungen zu sein, dabei kurzzeitig die Domain übernommen, den Mail-Verkehr umgeleitet und sogar Zugriff auf die Verwaltung aller .edu-Domains gehabt zu haben.

Zusätzlich will HTP auch weitere Webserver gekapert haben, darunter die des Sicherheitswerkzeugs Nmap, des Netzwerksicherheitsdienstes Sucuri, des Sicherheitsunternehmens Trend Micro sowie des Netzwerkanalyseprogramms Wireshark.

Für einige dieser Angriffe nutzte Hack The Planet einen 0-Day-Exploit gegen das Wiki-System MoinMoin, den die Gruppe bei dieser Gelegenheit gleich mit veröffentlicht haben. Zusätzlich publizierte HTP einen Exploit zur Übernahme von Webservern, die ColdFusion 9 oder 10 einsetzen. Eine Form dieses Exploits wollen die Hacker im April für ihren Angriff auf den Hoster Linode verwendet haben.

HTP gehören zur harten Sorte, pflügen aber unter Betonung ihrer Hackerehre durch das Internet. Statt wie Chaos-Hacker vom Schlage LulzSec rücksichtslos alles Gefundene einfach online zu stellen, geht es ihnen vor allem darum, mit dem Erreichten prahlen zu können. Dies dokumentieren sie nach alter Schule in "Zines", hohngefüllten ASCII-Dokumenten mit detaillierten Beschreibungen ihrer Taten.

Der aktuellen Zine zufolge will HTP Zugriff auf zahlreiche Server gehabt haben, darunter die Projektserver von Nagios, Mono, Pastie und SQLite. Die Hacker schreiben, sogar ICANN sowie der Backbone von SourceForge seien "kompromittiert" worden. Sie veröffentlichten rund 7500 Datensätze zu .edu-Domains – jeweils mit dem ungesalzenen MD5-Hash des Passworts. Knapp die Hälfte (rund 3400) sind auch bereits im Klartext enthalten. Und angesichts der Geschwindigkeit, mit der man MD5-Hashes durchprobieren kann, steht zu fürchten, dass die anderen auch bald geknackt sind. Eine Stellungnahme des Registrars, ob die drohende Gefahr bereits unter Kontrolle ist, steht noch aus.

Im Zuge dieser Aktionen musste die anonyme Hackergruppe allerdings feststellen, dass ein oder mehrere Mitglieder als Informanten für das FBI tätig waren. Angeblich habe man Zugriff auf die Webcam eines Informanten erhalten und dabei einen "Betreuer" des FBI beobachtet, der hinter dem Hacker stand und Anweisungen gab. Wie ernst die Behauptungen von HTP tatsächlich zu nehmen sind, wird sich im Laufe der nächsten Tage zeigen müssen. Angesichts der dokumentierten Hacks gegen Linode, das MIT und den Server des NMap-Maintainers ist zu befürchten, dass auch die restlichen Informationen zumindest zum großen Teil stimmen.

In Anbetracht der offen gelegten Exploits für ColdFusion ("ColdSub-Zero v2") und MoinMoin ("Moinmelt.py") sollten Administratoren potenziell verwundbarer Systeme in den nächsten Tagen ganz besonders auf ungewöhnliche Aktivitäten achten. Die gegen Linode eingesetzte ColdFusion-Lücke hat Adobe bereits mit einem Hotfix abgedichtet, den man dringend installieren sollte. Der Exploit für MoinMoin sieht aus, als richte er sich gegen die Lücke, die mit Version 1.9.6 geschlossen wurde (CVE-2012-6081). Der für Security-Patches bei MoinMoin zuständige Thomas Waldmann bestätigte gegenüber heise Security, dass MoinMoin ab Version 1.9.6 sowie alle mit Hinweis auf CVE-2012-6081 gepatchten 3rd-Party-Pakete etwa von Linux-Distributoren dafür nicht anfällig sind. (ghi)