Gandi.net: Angreifer klaut interne Login-Daten und leitet Domains auf Malware um

Ein Angreifer hat am Freitag der vergangenen Woche die Login-Informationen der französischen Domain-Registrars Gandi.net für einen von dessen technischen Providern verwendet, um die DNS-Einträge von insgesamt 751 Domains zu manipulieren. Dadurch wurde der Traffic zu den betroffenen Domains auf eine schädliche Website umgeleitet. Betroffen waren laut Gandi.net ausschließlich Adressen mit länderspezifischen Top-Level-Domains.

Einem detaillierten Bericht des Registrars zufolge passierten die Änderungen am Freitag, dem 7. Juli zwischen 10:04 Uhr und 11:44 Uhr mitteleuropäischer Sommerzeit (UTC plus zwei Stunden); um 15:50 Uhr hatte das Team von Gandi.net die Manipulationen rückgängig gemacht. Danach dürfte es noch zwei bis drei Stunden gedauert haben, bis alle lokalen DNS-Server die Korrekturen übernommen und die TTLs (Time-to-Live) abgelaufen waren.

In der Summe dürften die betroffenen Domains bis zu elf Stunden lang auf die schädliche Website geleitet haben. Die schweizer Registry Switch.ch hatte betroffene Kunden gewarnt; sie berichtet in ihrem Blog, dass Besucher der betroffenen Domains auf die Infrastruktur des Exploit-Kits RIG geleitet wurden, solange die Manipulationen online waren. Faule Zertifikate wurden unterdessen laut Gandi.net nicht ausgestellt. Zwar wurden während des Angriffs 18 Zertifikate ausgestellt, sie erwiesen sich aber nach manueller Prüfung als legitim.

Gandi.net legt Wert auf die Feststellung, dass die eigenen Systeme nicht gehackt wurden – die Login-Daten zum technischen Provider seien möglicherweise abhanden gekommen, weil der Login bei diesem über eine ungesicherte Verbindung erfolge. Als Reaktion auf den Angriff hat der Registrar einen Sicherheitsaudit für seine komplette Infrastruktur gestartet. Einen Täter hat man indes noch nicht ausmachen können, wenngleich durchaus Spuren vorliegen. (jss)