Social Engineering gegen GoDaddy erlaubte Angriffe auf Kryptogelddienste

Unbekannte haben offenbar Mitarbeiter des Domainregistrars und Hosting-Anbieters GoDaddy hereinlegen können und dabei erlangte Zugänge für Attacken auf Kryptogelddienstleister genutzt. Wie der Security-Blogger Brian Krebs berichtete, haben die Täter so DNS-Einträge geändert, um etwa E-Mail-Adressen und Webtraffic der attackierten Firmen umzuleiten. Betroffen waren unter anderem die Handelsplattform Liquid und der Miningdienst Nicehash; Krebs sprach von einer Kampagne.

Liquid bemerkte die Attacken am 13. November, wie Chef Mike Kayamori in einem Blogeintrag schilderte. Die Täter konnten demnach dank des GoDaddy-Hacks Kontrolle über eine zentrale Domain Liquids erlangen und so interne Mailadressen von Liquid kapern. Das habe ihnen auch Zugang zur weiteren Infrastruktur wie etwa dem Dokumentensystem eröffnet. Nach Bemerken des Hacks habe Liquid den Angriff jedoch eindämmen können. Verwaltete Kryptogeldguthaben seien nicht betroffen gewesen. Welche Nutzer-Daten die Hacker abgreifen konnten und in welchem Umfang, werde noch untersucht. Nutzer sollten zur Sicherheit ihre Passwörter ändern, auch wenn diese "stark verschlüsselt" gespeichert gewesen seien.

Mit gekaperten Mail-Accounts Passwörter zurücksetzen

Nicehash wiederum berichtete am 18. November, dass Einträge der eigenen Domain bei GoDaddy unautorisiert geändert wurden. Sofort nachdem dies aufgefallen war, fror der Dienst sämtliche Kundenwallets ein, was am darauffolgenden Tag aber schon wieder aufgehoben werden konnte. Mails, Passwörter und sonstige Daten der Kunden seien vermutlich nicht abgegriffen worden, teilte Nicehash mit.

Gegenüber Krebs führte Nicehash-Chef Matjaz Skorjanc aus, dass auch hier die Angreifer kurzzeitig interne Mailaccounts kontrolliert hatten. Damit hätten sie versucht, Passwörter bei anderen Diensten wie Slack und Github zurückzusetzen. Man habe das aber schnell bemerkt und beenden können.

Noch weitere Anbieter betroffen?

Security-Forscher Krebs geht davon aus, dass noch weitere Anbieter aus der Kryptogeldszene mit dieser Masche angegriffen worden sind. Dem Nicehash-Chef zufolge seien die Mailadressen auf Adressen bei der Plattform privateemail.com umgelenkt worden. Krebs konnte dieses Muster mittels des Dienstes Farsight, mit dem sich Änderungen bei DNS-Einträgen nachvollziehen lassen, auch bei anderen Plattformen nachvollziehen.

Demnach könnten auch die Anbieter Bibox.com, Celsius.network und Wirex.app von solchen Angriffen betroffen gewesen sein. Bestätigt ist das aber nicht. Ein Sprecher von GoDaddy erklärte nur, dass eine "kleine Zahl" von Kundendomains verändert wurde, nachdem eine "begrenzte Zahl" von Mitarbeiter auf Social Engineering hereingefallen waren. Betroffene Accounts habe man gesperrt, die Änderungen an DNS-Einträgen wieder rückgängig gemacht und die Zugänge den rechtmäßigen Besitzern zurückgegeben.

Erst im Mai musste GoDaddy eingestehen, dass durch einen Hackerangriff Hosting-Accounts von rund 28.000 Kunden kompromittiert wurden. Den Unbekannten war wohl gelungen, durch Manipulation einer SSH-Datei Zugriff auf die SSH-Credentials der Betroffenen zu erlangen, was aber einige Monate unbemerkt blieb.

(axk)