Erfolgreicher Angriff auf Internet-Verwaltung ICANN
Beim Angriff auf die ICANN wurde unter anderem ein zentrales System kompromittiert, das zur Organisation der neuen Top Level Domains dient. Die ICANN trägt die Oberaufsicht über die Verwaltung von Netz-Ressourcen wie DNS und IP-Adressen.
- Jürgen Kuri
Unbekannte haben zentrale Server der Internet-Verwaltung ICANN erfolgreich angegriffen. Die Organisation, die unter anderem für die Aufsicht über die Rootzone des Domain Name System (DNS) zuständig ist, berichtet, dass es Angreifern mittels Spearphishing gelungen sei, Zugriff auf zentrale Server der ICANN zu erhalten.
Die Angreifer haben nicht nur Kontrolle über die E-Mail-Accounts einiger ICANN-Beschäftigter erlangt, sondern auch Administrator-Zugang zu einem zentralen System mit DNS-Zonendaten (Centralized Zone Data Service, CZDS) ) sowie zu den Daten der Account-Inhaber bei diesem System. Zu den Account-Daten, auf die die Angreifer Zugriff hatten, gehören laut ICANN Namen, Adresse, E-Mail-Adresse, Fax- und Telefonnummern, User-Namen und Passwort-Hashes.
Das kompromittierte System dient den Account-Inhabern dazu, die Zuweisung und Verwaltung der neuen Top Level Domains zu organisieren, die derzeit gerade eingeführt werden. Außerdem erhielten die Angreifer Zugriff auf die Content-Management-Systeme mehrerer Blogs bei der ICANN sowie auf das Wiki des ICANN-GAC (Governmental Advisory Comittee, die Gruppe, in der sich die Regierungsvertreter bei der ICANN organisieren). Als Vorsichtsmaßnahme hat die ICANN sämtliche CZDS-Passwörter für ungültig erklärt, CZDS-User können bei der ICANN neue Passwörter anfordern.
Laut ICANN wurden keine Systeme der IANA kompromittiert. Die IANA als von der ICANN beaufsichtigte Organisation ist für den eigentlichen Betrieb der technischen Infrastruktur für die DNS-Rootzone und IP-Adressverwaltung zuständig. Der Betrieb der DNS-Rootzone ist demnach nicht gefährde^t, die Server der DNS-Root wurden nicht kompromittiert.
Die Angreifer gingen laut ICANN recht geschickt vor; sie schafften es, beim Spearphishing die Mails so aussehen zu lassen, als wären sie direkt von der ICANN-eigenen Domain an ICANN-Beschäftigte gerichtet. Da man aber bereits zu Beginn des Jahres begonnen habe, erweiterte Sicherheitsmaßnahmen einzuführen, sei selbst dieser erfolgreiche Angriff in seinen Auswirkungen begrenzt geblieben. Welche Auswirkungen der Angriff genau hatte, darüber lässt sich die ICANN nicht weiter aus; so bleibt unklar, ob durch die kompromittierten Accounts Zugriff auf vertrauliche Informationen und Verwaltungsangaben für das DNS möglich war. (jk)
