Als ICANN selbst Opfer eines Phishing-Angriffs wurde: Der Spear-Phishing-Einbruch von 2014 im Herzen des Internets
Ende 2014 gab ICANN – die Organisation, die das Domain-Name-System des Internets koordiniert – zu, dass eine Spear-Phishing-E-Mail, die die eigene Domain vortäuschte, Zugangsdaten von Mitarbeitern abgegriffen und Angreifern administrativen Zugriff auf das Centralized Zone Data System verschafft hatte. Eine tiefgehende Domain-Mayday-Analyse, wie die DNS-Autorität selbst Opfer eines Phishing-Angriffs wurde, was offengelegt wurde und warum das noch immer relevant ist.
- domains
- security
- dns
- domain-security
Es gibt eine ganz besondere Art von Schlagzeile, die die gesamte Sicherheitsbranche innehalten lässt. Nicht „wieder ein Einzelhändler gehackt", nicht „wieder ein Startup mit undichter Datenbank" — sondern der Tag, an dem die Institution, der alle anderen vertrauen, zugibt, dass sie auf die denkbar gewöhnlichste Weise gehackt wurde.
Im Dezember 2014 war diese Institution ICANN. Die Internet Corporation for Assigned Names and Numbers — die gemeinnützige Organisation, die das gesamte Domain-Name-System koordiniert, die Hüterin der Regeln, die dafür sorgen, dass namefi.io und google.com und jede andere Adresse auf der Welt auf einen Server aufgelöst wird — gab bekannt, dass einige ihrer Mitarbeiter auf einen Link in einer gefälschten E-Mail geklickt, ihr Passwort auf einer gefälschten Anmeldeseite eingegeben und Angreifern damit die Schlüssel zu internen Systemen überlassen hatten — darunter das Centralized Zone Data System (CZDS), das Repository, über das die Zonendateien der weltweit wichtigsten Top-Level-Domains angefordert und abgerufen werden.
Die Organisation, die definiert, wie Vertrauen im Internet funktioniert, wurde gephisht. Mit einer gefälschten E-Mail. Die vorgab, von ICANN zu stammen.
Dies ist EP11 von Domain Mayday — und es ist die Folge, in der der Anruf aus dem eigenen Haus kommt.
Wer ICANN ist und warum ein Einbruch dort symbolisch ist
Um zu verstehen, warum diese Geschichte so einschlug, muss man verstehen, was ICANN eigentlich tut.
ICANN ist kein Unternehmen, bei dem man eine Domain kauft. Es sitzt eine Ebene darüber. Es koordiniert das globale System eindeutiger Identifikatoren, das das Internet navigierbar macht: die Top-Level-Domains (.com, .org, .io und die Hunderten neuerer), die Regeln, die Registries und Registrare befolgen, und — durch seine IANA-Funktion — die absolute Spitze der DNS-Hierarchie, die Root-Zone, von der letztlich jede andere DNS-Abfrage abhängt.
Wenn Domains die Adressen des Internets sind, betreibt ICANN das Hauptverzeichnis des Postamts. Ein Einbruch bei einem Registrar ist schlimm. Ein Einbruch bei ICANN ist symbolisch, denn ICANN ist die Autorität — die eine Institution, deren Aufgabe es ist, das Namensystem geordnet und vertrauenswürdig zu halten. Wenn die Autorität für Internet-Namen kompromittiert wird, stellt sich die unbequeme Frage von selbst: Wenn sie gephisht werden können — wer dann nicht?
Ende 2014: die Kompromittierung
ICANN legte den Zeitplan in seiner eigenen öffentlichen Ankündigung dar, die am 16. Dezember 2014 mit bemerkenswerter Offenheit veröffentlicht wurde: „Wir glauben, dass ein ‚Spear-Phishing'-Angriff Ende November 2014 eingeleitet wurde."
Die Mechanik war fast beleidigend einfach. Wie ICANN es beschrieb, umfasste der Angriff „E-Mail-Nachrichten, die so gestaltet waren, dass sie von unserer eigenen Domain zu stammen schienen und an Mitglieder unseres Personals gesendet wurden." Mitarbeiter erhielten E-Mails, die aussahen, als kämen sie von icann.org — aus dem Inneren von ICANN selbst. Einige klickten. Wie The Register rekonstruierte, „klickten die Mitarbeiter auf einen Link in den Nachrichten, der sie zu einer gefälschten Anmeldeseite führte – in die sie ihre Benutzernamen und Passwörter eingaben" und den Angreifern damit ihre Arbeitszugangsdaten übergaben. Das trockene Urteil von The Register zur fehlenden Schutzmaßnahme: „Kein Anzeichen von Zwei-Faktor-Authentifizierung, also."
Das Ergebnis, in ICANNs eigenen Worten: „Der Angriff führte zur Kompromittierung der E-Mail-Zugangsdaten mehrerer ICANN-Mitarbeiter." Help Net Security formulierte es noch deutlicher: „Mehrere Mitarbeiter wurden dazu verleitet, ihre E-Mail-Zugangsdaten" an die Angreifer herauszugeben.
Kein Zero-Day. Keine ausgefeilte Malware. Eine überzeugende E-Mail und eine gefälschte Anmeldemaske — der älteste Trick im Internet, eingesetzt gegen die Menschen, die das Internet mitbetreiben.
Was abgerufen wurde: das Zonendatensystem im Mittelpunkt
Gestohlene E-Mail-Zugangsdaten sind für sich genommen schon schlimm genug. Was diesen Einbruch zu einer Domain-Mayday-Folge macht, ist das, worauf die Angreifer damit zugreifen konnten.
Anfang Dezember 2014 stellte ICANN fest, dass die kompromittierten Anmeldedaten genutzt worden waren, um sich auch in andere Systeme einzuloggen. Das schwerwiegendste war das Centralized Zone Data System — CZDS, die Plattform, über die autorisierte Parteien die Zonendateien der generischen Top-Level-Domains der Welt abrufen und herunterladen können. ICANNs Offenlegung ist eindeutig: „Der Angreifer erlangte administrativen Zugriff auf alle Dateien im CZDS."
Administrativer Zugriff. Auf alle Dateien. The Register erläuterte, warum das bedeutsam ist: Das CZDS „gibt autorisierten Parteien Zugriff auf alle Zonendateien der generischen Top-Level-Domains der Welt." Die Nutzer des Systems sind keine gewöhnlichen Menschen — es sind, wie The Register anmerkte, „viele der Administratoren der Registries und Registrare weltweit." Die Angreifer gelangten nicht nur in eine Datenbank; sie gelangten in die Datenbank, in die sich die Torwächter des Namensystems selbst einloggen.
Über die Zonendateien hinaus legte der Einbruch auch die personenbezogenen Daten der CZDS-Nutzer offen. Laut ICANN umfasste die Beute „Kopien der Zonendateien im System sowie von den Nutzern eingegebene Informationen wie Name, Postanschrift, E-Mail-Adresse, Fax- und Telefonnummern, Benutzername und Passwort." Benutzernamen und Passwörter der TLD-Verwalter — in einem System, in das ein Angreifer mit einem gestohlenen Ausweis spaziert war.
Die gestohlenen Zugangsdaten reichten noch weiter. ICANN bestätigte, dass die Angreifer auch das GAC-Wiki (der Bereich des Governmental Advisory Committee), den ICANN-Blog und das WHOIS-Informationsportal berührt hatten — wenngleich für die letzten beiden Systeme keine Auswirkungen gemeldet wurden und beim Wiki nur ein eingeschränkter Lesezugriff erfolgte.
Wie es passierte: der Ausweis mit der Aufschrift „ICANN"
Zieht man die technischen Schichten ab, ist der Angriff ein Trickbetrug.
Spear-Phishing unterscheidet sich von gewöhnlichem Phishing durch seine Präzision. Es sind keine Million Spam-Mails, die darauf hoffen, dass jemand anbeißt; es ist eine kleine Anzahl sorgfältig zugeschnittener Nachrichten, die auf bestimmte Personen abzielen und so gestaltet sind, dass sie wie normaler interner Datenverkehr aussehen. Hier war die Tarnung die denkbar stärkste: Die E-Mail schien von icann.org zu stammen. Wie The Register zusammenfasste, „schickten Angreifer gefälschte E-Mails an Mitarbeiter, die scheinbar von icann.org stammten."
Man bedenke die Psychologie. Eine E-Mail von der Domain der eigenen Organisation schlägt keine Alarme an. Eine Anmeldeseite, die wie die aussieht, die man täglich benutzt, auch nicht. Der gesamte Angriff nutzte die Tatsache aus, dass intern und vertraut sich genauso anfühlen wie sicher — und das sind sie nicht. Die Adressleiste zeigte eine Sache; die Seite dahinter speicherte alles, was darin eingegeben wurde.
ICANNs einzige echte Schutzmaßnahme lag auf der Speicherseite: Die gestohlenen Passwörter lagen nicht im Klartext vor. Wie in der Bekanntmachung vermerkt, „wurden die Passwörter als gesalzene kryptografische Hashes gespeichert" — besser als das Gegenteil, aber, wie The Register betonte, greift dieser Schutz nur, wenn die Nutzer dieselben Anmeldedaten nicht anderswo wiederverwendet haben, da die Hashes noch immer offline geknackt werden könnten. Mit dem Download endete der Einbruch nicht; er startete ein langsames Rennen zwischen Verteidigern, die Passwörter rotierten, und Angreifern, die versuchten, sie zu knacken.
Reaktion und Nachspiel
Der Offenlegung begegnete ICANN besser als dem Einbruch selbst.
Die Organisation ging innerhalb von Wochen an die Öffentlichkeit, deaktivierte CZDS-Passwörter, benachrichtigte betroffene Nutzer und — bemerkenswerterweise — stellte Transparenz als Pflicht und nicht als Haftungsrisiko dar. Die Organisation erklärte, sie stelle „Informationen über diesen Vorfall öffentlich bereit, nicht nur aufgrund unseres Bekenntnisses zu Offenheit und Transparenz, sondern auch weil der Austausch von Cybersicherheitsinformationen allen Beteiligten hilft, Bedrohungen für ihre Systeme einzuschätzen." Sie berichtete auch, dass ein früher in jenem Jahr begonnenes Sicherheitsverbesserungsprogramm „dazu beigetragen hatte, den im Angriff erzielten unbefugten Zugriff zu begrenzen."
Die für das breitere Internet wichtigste Aussage war jene darüber, was nicht kompromittiert wurde. ICANN bestätigte: „Dieser Angriff wirkt sich nicht auf IANA-bezogene Systeme aus." IANA — wie Help Net Security es beschrieb, die Funktion, die „die Root-Zone im Domain-Name-System (DNS) verwaltet" — ist die eigentliche Spitze der Namenshierarchie des Internets. Hätten die Angreifer sie erreicht, wäre dies kein peinlicher Datenschutzverstoß gewesen; es wäre ein struktureller Notfall gewesen.
Der Zeitpunkt machte die Peinlichkeit noch größer. The Registers Titelzeile brachte es unverblümt auf den Punkt: Der „Zeitpunkt des Spear-Phishing-Angriffs hätte für den Domain-Namen-Aufseher nicht schlechter sein können." Warum? Weil ICANN „hofft, im nächsten Jahr die Kontrolle über den kritischen IANA-Vertrag übergeben zu bekommen" — eben jener Stewardship-Übergang, der damals verhandelt wurde. Gephisht zu werden ist kein gutes Vorsprechen für „Vertraut uns das Herzstück des DNS an." (Zum Kontext: Es war 2014 auch nicht ICANNs erster CZDS-Vorfall: The Register verwies auf einen früheren Vorfall im April, bei dem „einer Reihe von Nutzern fälschlicherweise Administratorzugriff auf das System gewährt wurde.")
Und die Daten hatten ein langes Nachleben. In einem am 21. Februar 2017 seiner eigenen Ankündigung hinzugefügten Update räumte ICANN ein, dass Informationen aus dem Einbruch wieder auftauchten: „Einige beim 2014 angekündigten Spear-Phishing-Vorfall erlangten Informationen werden in Underground-Foren zum Kauf angeboten." CyberScoop berichtete über den gängigen Preis Jahre später: „Die Daten werden immer noch auf Schwarzmärkten weitergegeben und für 300 US-Dollar verkauft," komplett mit der Behauptung, die Daten seien nie zuvor durchgesickert. Ein einziger Klick Ende 2014 generierte noch 2017 Verkäufe.
Was dieser Fall lehrt: Jeder kann gephisht werden, sogar die DNS-Autorität
Die Lektion von EP11 lautet nicht „ICANN war leichtsinnig." Sie ist etwas Demütigenderes.
Jeder kann gephisht werden. Nicht die Leichtsinnigen. Nicht die Ungeschulten. Jeder. Die Organisation, die buchstäblich Internet-Namen regiert — besetzt mit Menschen, die hauptberuflich über DNS, Sicherheit und Infrastruktur nachdenken — hatte dennoch mehrere Mitarbeiter, die ihre Zugangsdaten auf einer gefälschten Seite eingaben, weil die E-Mail intern wirkte. Phishing besiegt nicht Ihr Wissen; es besiegt Ihre Aufmerksamkeit, für die zwei Sekunden, die es braucht, um zu klicken.
Ein paar dauerhafte Erkenntnisse lassen sich daraus ableiten:
- Zugangsdaten sind der Perimeter. Die Angreifer haben ICANNs Kryptografie nicht gebrochen oder eine Serverlücke ausgenutzt. Sie haben ein Passwort geliehen. Sobald Identität das Tor ist, ist gestohlene Identität der Einbruch — genau deshalb bleibt Phishing der zuverlässigste Angriff der Welt.
- Multi-Faktor-Authentifizierung ist für privilegierte Systeme keine Option. The Registers Seitenhieb auf „kein Anzeichen von Zwei-Faktor-Authentifizierung" trifft den Kern. Ein zweiter Faktor hätte den Diebstahl von Zugangsdaten wahrscheinlich zu einem nichtigen Ereignis gemacht.
- Laterale Bewegung ist der Multiplikator. Der Schaden entstand durch Wiederverwendung — E-Mail-Anmeldedaten, die genutzt wurden, um CZDS, das Wiki und das Portal zu erreichen. Zugriff zu segmentieren und zu verhindern, dass ein einziges gestohlenes Passwort viele Türen öffnet, ist das, was einen Einbruch eindämmt.
- Kompromittierte Daten bleiben für immer. Der Wiederverkauf 2017 beweist, dass „wir haben die Passwörter zurückgesetzt" den Vorfall schließt, aber nicht die Offenlegung. Namen, Adressen und Telefonnummern werden nicht un-geleakt.
- Autorität ist nicht dasselbe wie Immunität. Die Institution zu sein, die Vertrauen definiert, macht Sie nicht immun gegen den grundlegendsten Angriff darauf. Wenn überhaupt, macht es Sie zu einem besseren Ziel.
Der Namefi-Blickwinkel
Der ICANN-Einbruch ist im Kern eine Geschichte darüber, wer die Kontrolle über die Datensätze hat — und wie diese Kontrolle durch einen einzigen gestohlenen Login auf einem zentralisierten System entführt wurde.
Das ist die strukturelle Schwäche, über die es sich nachzudenken lohnt. Wenn der Nachweis, wer berechtigt ist, auf kritische Domain-Daten zuzugreifen oder sie zu verwalten, hinter einem Benutzernamen und Passwort auf einer einzigen Plattform liegt, bricht das gesamte Vertrauensmodell in dem Moment zusammen, in dem diese Zugangsdaten abgephisht werden. Es gibt keine zweite Prüfung. Eine überzeugende E-Mail und ein wiederverwendetes Passwort waren ausreichend, um administrativen Zugriff auf das Zonendatensystem im Zentrum der Namenswelt zu gewähren.
Namefi baut auf einem anderen Grundsatz auf: dass Domain-Eigentum und -Kontrolle verifizierbar, manipulationsresistent und nicht von einem einzigen Geheimnis in einem einzigen Posteingang abhängig sein sollten. Indem Domain-Eigentum als On-Chain-Token dargestellt wird, das mit DNS kompatibel bleibt, wird Kontrolle zu etwas, das man kryptografisch nachweisen und prüfen kann — nicht nur zu etwas, das durch ein Passwort gesichert ist, das eine Spear-Phishing-E-Mail stehlen kann. Das macht niemanden immun gegen Phishing; das tut nichts. Aber es verringert den Explosionsradius, sodass ein einziges geliehenes Passwort nicht mehr einen Schritt vom Zugriff auf die Schlüssel zum Königreich entfernt ist.
Das bleibende Bild von EP11 ist der gefälschte Brief, der am Wächter der Hauptschlüssel des Internets vorbeischlüpfte, weil er die richtige Uniform trug. Die Lösung ist kein klügerer Wächter. Es ist ein System, in dem die Schlüssel selbst beweisen können, dass sie echt sind.
Quellen und weiterführende Literatur
- ICANN — ICANN Targeted in Spear Phishing Attack | Enhanced Security Measures Implemented (Primärquelle, einschließlich des Updates von 2017)
- The Register — ICANN HACKED: Intruders poke around global DNS innards
- Help Net Security — ICANN systems breached via spear-phishing emails
- Computerworld — ICANN data compromised in spearphishing attack
- WeLiveSecurity (ESET) — ICANN computers compromised by hackers
- Associations Now — ICANN Systems Infiltrated in "Spear Phishing" Attack
- Slate — ICANN Got Hacked
- Domain Incite — Hacked ICANN data for sale on black market
- Slashdot — Hackers Compromise ICANN, Access Zone File Data System
- CyberScoop — Hacked ICANN data still sells for hundreds of dollars years after breach
- DomainGang — ICANN alerts users of CZDS & ICANN Wiki about security breach
Über die Autor*innen
Verwandte Leitfäden
- Die 12-Dollar-Minute: Als jemand google.com stillschweigend kaufteIm September 2015 kaufte ein ehemaliger Google-Mitarbeiter google.com über Google Domains für 12 Dollar und hatte etwa eine Minute lang die administrative Kontrolle über die wertvollste Domain der Welt. Die Geschichte von Sanmay Ved, dem 6.006,13-Dollar-Kopfgeld und was eine Minute Eigentumsrecht darüber verrät, wer wirklich eine Domain kontrolliert.
- Domain Mayday EP03: Die Twitter-Bitcoin-Kontoübernahme 2020Am 15. Juli 2020 verschafften sich Angreifer per Telefon Zugang zu Twitter, übernahmen die verifizierten Konten von Obama, Biden, Musk, Gates, Apple und Uber und führten einen Bitcoin-Verdopplungsbetrug durch – mit einer Beute von rund 118.000 US-Dollar. Eine Tiefenanalyse, wie die Kontrolle über eine Online-Identität gestohlen wurde und was das für den Besitz eines Namens bedeutet.
- Domain Mayday EP05: Der Squarespace-DeFi-Domain-Massenraub 2024Im Juli 2024 verwandelte eine Registrar-Migration von Google Domains zu Squarespace schwache Standard-Authentifizierung in eine Massenangriffsfläche. Angreifer kaperten die Domains von Krypto- und DeFi-Projekten – Compound Finance, Celer Network, Pendle, Unstoppable Domains – und leiteten sie auf Wallet-Drainer-Phishing-Seiten um. So schuf eine „nahtlose" Migration hunderte ungesicherter Eingangstüren, und was das über Registrar-Sicherheit und MFA lehrt.
- Der BadgerDAO-Frontend-Angriff: 120 Millionen Dollar durch ein eingeschleustes Skript abgezogenIm Dezember 2021 kompromittierten Angreifer das Cloudflare-Konto von BadgerDAO und schleusten ein bösartiges Skript in das Website-Frontend ein. Die auditierten Smart Contracts wurden nie berührt — und dennoch verschwanden rund 120 Millionen Dollar durch Wallet-Freigaben, die Nutzer unwissentlich unterzeichneten. Eine Tiefenanalyse darüber, warum die Website Teil Ihrer Sicherheitsoberfläche ist.