Website des ISC nach Angriff im Notbetrieb

Die Website des Internet Internet Systems Consortium (ISC) wurde Opfer eines Angriffs. Kurz vor Weihnachten wurde die mit dem Content-Management-System WordPress aufgesetzte Site unterwandert und lieferte etwa einen Tag lang den Angler Exploit Kit aus.

Das gemeinnützige ISC entwickelt für die Internet-Infrastruktur essenzielle Software wie den Domain-Name-System-Server BIND und einen DHCP-Server. Zusätzlich betreibt das ISC einen der 13 ausschlaggebenden Root-Name-Server des DNS, den F-root. Beim Angriff seien weder die Software noch die Dienstleistungen kompromittiert worden.

Wer die Website "in letzter Zeit" besucht habe, solle seinen Rechner auf Schädlingsbefall untersuchen, empfiehlt das ISC. Der Sicherheitsdienstleister Cyphort Labs wurde am 22. Dezember auf den Angriff aufmerksam und alarmierte sofort das ISC, das die Site am 23. Dezember offline nahm.

Bisher gebe es keine Hinweise auf infizierte Rechner. Der von Cyphort analysierte Angler Exploit Kit zielte auf Schwachstellen im Browser Microsoft Internet Explorer (MSIE) und in den Browser-Plug-ins Flash und Silverlight ab. Als Memory Based Malware legt der Trojaner zunächst keine Dateien auf dem Zielsystem ab.

Gegenüber der britischen Nachrichten-Website "The Register" erklärte Dan Mahoney, ein Systemadministrator des ISC, es habe sich wohl um keinen gezielten Angriff gehandelt. Das ISC sei Opfer einer breit gefächerten Angriffswelle gewesen, der einen WordPress-Exploit ausgenutzt habe.

Bis das ISC seine WordPress-Installation abgesichert und gesäubert hat, zeigt www.isc.org eine statische Seite. Die wesentlichen Dienstleistungen bleiben vom Angriff unberührt: Wer eine aktuelle Version von BIND und ISC DHCP benötigt, kann sie direkt vom FTP-Server herunterladen. Auch die Knowledge Base mit Support-Informationen liegt auf einem separaten Server, der nicht vom Angriff betroffen war. (ghi)