Avira, AVG, Alexa: Hacker kapern weitere prominente Domains

Die Hacker von "KDMS Team – Plaestinian Hackers" haben nicht nur die Domain WhatsApp.com gekapert, sondern auch zahlreiche weitere: So konnten die Angreifer etwa die Haupt-Domains der Antivirenhersteller Avira und AVG manipulieren, was die Seitenaufrufe auf einen Server mit der IP-Adresse 173.193.136.42 weiterleitet. Ebenfalls betroffen waren der zu Amazon gehörende Statistikdienst Alexa.com, die Erotikseite RedTube und der Hoster LeaseWeb.

Alle betroffenen Domains – einschließlich WhatsApp.com – wurden über den Domain-Registrar Network Solutions registriert. Offenbar gelang es den Hackern, die vom Registrar festgelegte Adresse des zuständigen DNS-Servers zu ändern. Der neue DNS-Server beantwortet Anfragen nach den betroffenen Domains mit der IP-Adresse der Hacker.

Avira zufolge ging bei Network Solutions eine Anfrage ein, das Passwort für den dortigen Account zurückzustzen. Der Registrar hat diese Anfrage ausgeführt – obwohl sie gar nicht von Avira stammte. Zugriffe auf das Firmennetz habe es nicht gegeben; Kundendaten seien nicht in Gefahr.

Bei einer DNS-Manipulation haben die Angreifer keinen Zugriff auf die Infrastruktur der betroffenen Unternehmen, wohl aber auf den fehlgeleiteten Traffic. Das kann für die Kunden der Firmen drastische Folgen haben: Ist etwa der Update-Mechanismus eines Antivirenprogramms unzureichend geschützt, könnten Angreifer theoretisch gefälschte Programmupdates ausliefern, die das Schutzprogramm dann kommentarlos auf dem System des Nutzers installieren.

Momenten sieht es aus, als gehe es den Hackern lediglich um die Publicity. Bisher deutet nichts darauf hin, dass von der Weiterleitung abgesehen mit den manipulierten Domains Schindluder getrieben wurde. Einige der gekaperten Domains waren nur kurzzeitig umgeleitet. Andere, wie Avira.com, sind nach wie vor nicht erreichbar. Avira arbeitet nach eigenen Angaben "eng mit dem Internet Service Provider zusammen, um wieder Kontrolle über die Domain-Namen zu erlangen". (rei)