Nach Cyber-Einbruch: Angreifer leiten GoDaddy-Webseiten um
Beim Webhoster GoDaddy konnten Angreifer Anfang Dezember 2022 Schadcode einschleusen, der dort gehostete Webseiten auf Malware-Seiten umleitete.
Beim Domain-Registrar und Webhosting-Anbieter GoDaddy konnten Cyber-Einbrecher Schadcode auf Systeme für Shared-Hosting einschleusen. Das hat das Unternehmen im Rahmen seiner Jahresmeldung an die SEC bekannt gegeben. Der Vorfall ereignete sich demzufolge bereits Anfang Dezember. Die Untersuchungen dauern noch an, ebenso offenbar die Angriffsversuche.
GoDaddy erläutert, dass Anfang Dezember vergangenen Jahres einige Beschwerden von Kundinnen und Kunden eingegangen seien, deren Webseiten sporadisch weitergeleitet wurden. Bei der dadurch angestoßenen Untersuchung fanden die Techniker heraus, dass zeitweilige Umleitungen von scheinbar zufälligen Webseiten vorkamen, die auf mit cPanel verwalteten Shared-Hosting-Servern lagen. Das Verhalten ließ sich nicht leicht reproduzieren, auch nicht auf denselben Webseiten, erklärt GoDaddy in einer Stellungnahme [1].
GoDaddy: Unbefugte Zugriffe auf Shared-Hosting-Umgebung
Wie das Unternehmen weiter ausführt, fanden die ermittelnden Mitarbeiter bei der Untersuchung heraus, dass Unbefugte Zugriff auf Server in der cPanel-Shared-Hosting-Umgebung erlangt und Schadsoftware installiert haben, die für die sporadischen Umleitungen der Kunden-Webseiten gesorgt hat. "Wir haben die Situation bereinigt und Sicherheitsmaßnahmen ergriffen, um zukünftige Infektionen zu verhindern", erklärt GoDaddy. Das Unternehmen ergänzt: "Wir beobachten weiterhin ihr Verhalten, blockieren weitere Zugriffsversuche dieser kriminellen Organisation und sammeln aktiv Beweise und Informationen über ihre Taktiken und Techniken, um die Strafverfolgung zu unterstützen". Die Informationen seien auch in der Jahresmeldung im sogenannten 10-K-Formular an die US-amerikanische Börsenaufsichtsbehörde [2] Securities and Exchange Comission (SEC) enthalten.
Das Unternehmen arbeite mit mehreren Strafverfolgungsbehörden rund um die Welt sowie mit Forensikexperten bei der weiteren Untersuchung des Vorfalls zusammen. GoDaddy habe von Strafverfolgern bestätigte Belege, dass fortgeschrittene, organisierte Gruppierungen, die Dienste wie GoDaddy angreifen, den Vorfall verursacht haben. Den erlangten Informationen zufolge habe die angreifende Gruppe zum Ziel, Webseiten und Server mit Malware zu infizieren. Damit führe sie dann Phishing-Kampagnen, Verteilung von Schadsoftware und andere bösartige Aktivitäten aus.
GoDaddy bittet für entstandene Unannehmlichkeiten um Entschuldigung und betont, aus dem Vorfall Lehren gezogen zu haben. Das Unternehmen habe die Sicherheit der Systeme und den Schutz der Kunden und ihrer Daten verbessert. Unklar bleibt, ob die Angreifer etwa unbefugt auf Daten zugreifen und ob sie diese kopieren konnten. Die veröffentlichten Fakten diesbezüglich sind nach inzwischen drei Monaten Untersuchungen nach den initialen Kundenmeldungen faktisch nicht existent.
In der Vergangenheit haben Einbrecher bei Webhostern Kundendaten kopiert, so etwa Mitte 2018 bei Domainfactory [3]. Anfang 2019 fand ein Sicherheitsforscher etwa bei fünf Webhostern gravierende Sicherheitslücken, die Angreifer recht einfach zum Übernehmen von Kundenkonten zu den rund sieben Millionen dort gehosteten Domains missbrauchen hätten können [4].
(dmk [6])
URL dieses Artikels:
https://www.heise.de/-7521325
Links in diesem Artikel:
[1] https://aboutus.godaddy.net/newsroom/company-news/news-details/2023/Statement-on-recent-website-redirect-issues/default.aspx
[2] https://d18rn0p25nwr6d.cloudfront.net/CIK-0001609711/e4736ddb-b4c7-485b-a8fc-1827691692c9.pdf
[3] https://www.heise.de/news/Datenleck-bei-Domainfactory-Hacker-knackt-Systeme-laesst-Kundendaten-mitgehen-4102881.html
[4] https://www.heise.de/news/Triviale-Hoster-Sicherheitsluecken-gefaehrden-7-Millionen-Domains-4275552.html
[5] https://www.heise.de/security
[6] mailto:dmk@heise.de
Copyright © 2023 Heise Medien