Die Sicherheit von Domain Name System (DNS) ist ein zentraler Baustein moderner Internetinfrastruktur. DNS fungiert als Übersetzer von Domainnamen in IP-Adressen und ermöglicht so den Zugang zu Websites und Diensten. Trotz seiner essenziellen Rolle bleibt das DNS-System jedoch anfällig für Fehlkonfigurationen, die von Cyberkriminellen ausgenutzt werden können. Eine besonders bedrohliche Methode stellt die so genannte Subdomain-Hijacking-Attacke dar, die von Hackergruppen wie Hazy Hawk zunehmend angewendet wird. Diese Gruppe nutzt Fehler in der Einrichtung von DNS-Einträgen, insbesondere von CNAME-Records, gezielt aus, um vergessene oder verwaiste Subdomains zu übernehmen und für schädliche Zwecke zu missbrauchen.
Hazy Hawk bedient sich einer ausgeklügelten Technik, bei der sie gezielt nach DNS-CNAME-Einträgen sucht, die auf nicht mehr existierende oder nicht mehr verwaltete Cloud-Dienste verweisen. CNAME-Einträge sind Alias-Zuordnungen, die eine Domain auf eine andere verweisen lassen. Wenn ein solcher Eintrag auf eine nicht mehr existierende Cloud-Ressource zeigt, entsteht eine Sicherheitslücke, die als ungenutzte oder vergessene Subdomain bezeichnet wird. Indem die Hacker die kontrollierte Cloud-Infrastruktur mit dem zuvor gelöschten oder freigegebenen Namen registrieren, können sie die Kontrolle über die Subdomain übernehmen. Somit wirkt die Subdomain weiterhin legitim und vertrauenswürdig, da sie mit der ursprünglichen übergeordneten Domain assoziiert ist.
Diese Vorgehensweise ist nicht nur technisch intelligent, sondern stellt auch eine erhebliche Bedrohung für Organisationen dar, deren Hauptdomains von großem Vertrauen bei Nutzern und Suchmaschinen profitieren. Hazy Hawk hat es bereits geschafft, Subdomains von namhaften Regierungsbehörden wie dem amerikanischen CDC (Centers for Disease Control and Prevention) und staatlichen Institutionen wie der kalifornischen Regierung zu unterwandern. Auch akademische Einrichtungen wie die Universität Berkeley oder renommierte internationale Organisationen wie UNICEF wurden Ziel dieser Angriffe. Selbst große multinationale Unternehmen und Beratungsfirmen sind betroffen, einschließlich Unilever, Deloitte, PwC und EY. Dadurch steigt nicht nur das Risiko für die betroffenen Institutionen, sondern auch für deren Nutzer, die in die Falle getappt und Opfer von Betrugsversuchen werden können.
Das Ausmaß der von Hazy Hawk kontrollierten Subdomains erlaubt den Tätern, eine Vielzahl schädlicher Inhalte zu verbreiten. Darunter befinden sich gefälschte Anwendungen, die Malware enthalten, sowie betrügerische Werbeanzeigen, die Nutzern schaden oder zur Preisgabe sensibler Informationen verleiten sollen. Besonders perfide ist die Verschleierung der URLs, die scheinbar von vertrauenswürdigen Quellen stammen und somit von Suchmaschinen positiv bewertet werden. Diese vermeintliche Legitimierung trägt dazu bei, die Reichweite der betrügerischen Kampagnen zu erhöhen und die Wahrscheinlichkeit von Klicks durch ahnungslose Nutzer zu vergrößern. Die technischen Hintergründe von Subdomain-Hijacking durch DNS-Fehlkonfigurationen sind nicht trivial, erfordern jedoch keine besonders fortschrittlichen Kenntnisse.
Essenziell ist die passive Überwachung von DNS-Daten, um CNAME-Einträge zu identifizieren, die auf nicht existierende Zieladressen zeigen. Die Hacker registrieren anschließend die freigegebenen Cloud-Ressourcen mit denselben Namen. Aufgrund der hierarchischen Struktur des DNS erlaubt diese Übernahme eine vollständige Kontrolle über die zuvor legitime Subdomain und die damit verbundenen Dienste. Die betroffenen Server können danach für unterschiedlichste kriminelle Aktivitäten genutzt werden, was eine schnelle Erkennung und Gegenmaßnahmen erschwert. Besonders problematisch ist die Tatsache, dass nicht alle Organisationen kontinuierlich ihre DNS-Einträge überwachen oder überprüfen, ob ihre Cloud-Dienste noch aktiv genutzt werden.
Während der technologische Fortschritt viele Dienste in die Cloud verlagert hat, werden alte Subdomains oft vergessen oder falsch verwaltet. Diese Schwachstellen offenbaren sich in einer Vielzahl von Branchen und Ländern und sind somit ein globales Problem. Angreifer nutzen genau diese Nachlässigkeit aus, um legitime Unternehmens- oder Regierungsseiten für ihre Zwecke zu missbrauchen, ohne selbst in die zugrundeliegende Infrastruktur eindringen zu müssen. Die Folgen für die Opfer sind vielfältig und erheblich. Nutzer, die auf kompromittierte Subdomains zugreifen, werden oftmals über mehrere Domains weitergeleitet, um die eigentliche Quelle zu verschleiern.
Dabei analysieren die Angreifer Informationen über die Geräte der Nutzer, deren IP-Adresse oder die Nutzung von VPN-Services. Diese Daten werden genutzt, um Nutzerprofile anzulegen und die Angriffsmethoden weiter zu verfeinern oder die Opfer gezielter anzusprechen. In den meisten Fällen werden die Opfer mit Fake-Warnungen über angebliche Viren oder Sicherheitsprobleme konfrontiert, wobei sie zu einem Kontakt mit vermeintlichen technischen Supportmitarbeitern verleitet werden. Andere Varianten nutzen gefälschte Erotikseiten oder Phishing-Seiten, um persönliche Daten abzugreifen. Eine besonders lukrative Einnahmequelle für die Hackergruppe Hazy Hawk sind Push-Benachrichtigungen.
Über die übernommene Subdomain verbreiten sie schädliche Websites, die Nutzer dazu bringen, Push-Notifications zu erlauben. Diese Notifications kommen auch dann noch, wenn der Nutzer die eigentliche Website verlassen hat, und sind oft gefüllt mit Werbung oder betrügerischen Angeboten. Diese permanente Störung beeinträchtigt nicht nur die Nutzererfahrung, sondern generiert für die Hacker auch kontinuierliche Einnahmen. Das Szenario von Hazy Hawk ist kein Einzelfall: Auch andere Hackergruppen wie Savvy Seahorse haben ähnliche Techniken genutzt, um DNS-CNAME-Einträge für die Erzeugung von Traffic-Distribution-Systems (TDS) zu missbrauchen. Diese TDS-Modelle dienen als Ausgangspunkt für weitere Angriffe, etwa durch das Weiterleiten auf gefälschte Investmentplattformen oder anderweitig betrügerische Webseiten.
Vor dem Hintergrund dieser Gefahren ist es unerlässlich, dass Unternehmen, Behörden und Organisationen ihre DNS- und Cloud-Ressourcen gründlich überprüfen und dauerhaft überwachen. Dabei sollte besonderes Augenmerk auf die Aktualität und Gültigkeit von CNAME-Einträgen gelegt werden, um vergessene oder nicht mehr genutzte Subdomains frühzeitig zu erkennen und sicher zu löschen. Die Einführung automatisierter Monitoring-Tools, die ungewöhnliche DNS-Konfigurationen identifizieren, kann dazu beitragen, Angriffe dieser Art zu verhindern. Zudem empfiehlt es sich, strikte Zugriffs- und Registrierungsrichtlinien für Cloud-Ressourcen zu etablieren, sowie regelmäßig Audits durchzuführen. Die Sensibilisierung der IT-Abteilungen für mögliche DNS-Schwachstellen ist ein wichtiger Faktor, um präventiv gegen das Subdomain-Hijacking vorzugehen.
Nutzer sollten grundsätzlich vorsichtig sein beim Anklicken von unbekannten Links, selbst wenn diese scheinbar von bekannten Institutionen stammen. Ein wachsames Nutzerverhalten ist eine weitere Schutzmaßnahme gegen unerwünschte Folgen solcher Angriffe. Abschließend zeigt der Fall von Hazy Hawk eindrucksvoll, dass Sicherheitslücken in der DNS-Infrastruktur eine gefährliche Angriffsfläche bieten, die oft unterschätzt wird. Die Kombination aus technischen Fehlkonfigurationen und ausgefeilten Angriffstechniken macht Subdomain-Hijacking zu einer ernstzunehmenden Bedrohung für Organisationen jeder Größe. Ein effektiver Schutz erfordert nicht nur technische Lösungen, sondern vor allem auch organisatorische Maßnahmen und die kontinuierliche Aufmerksamkeit für die eigenen digitalen Ressourcen.
Nur so lässt sich die Integrität von Domains und Subdomains dauerhaft gewährleisten und Angriffe wie die der Gruppe Hazy Hawk wirkungsvoll abwehren.
