Der Malaysia-Airlines-DNS-Hijack: „404 — Flugzeug nicht gefunden"
Im Januar 2015 kapert Lizard Squad das DNS von malaysiaairlines.com und ersetzt die Airline-Website durch einen Eidechse im Frack und den Spott „404 — Flugzeug nicht gefunden." Kein Server wurde kompromittiert — die Angreifer änderten einfach, wohin die Domain zeigte. Ein Domain-Mayday-Deep-Dive darüber, wie DNS zur verwundbarsten Eingangstür der Fluggesellschaft wurde.
- domains
- security
- dns
- domain-security
Das Flugzeug wurde nie gefunden. Im Januar 2015 war auch die Website spurlos verschwunden.
Am Morgen des 26. Januar 2015 gelangte jeder, der malaysiaairlines.com in einen Browser eintippte, nicht zur Airline. Er landete bei einem Hacker. Die vertraute Buchungsseite war verschwunden, ersetzt durch das Bild einer Eidechse in Zylinder und Monokel und eine einzige, grausame Überschrift: „404 — Flugzeug nicht gefunden." Darunter: „Gehackt von Lizard Squad — Offizielles Cyber-Kalifat." Die Titelzeile eines Browsers zeigte schlicht: „ISIS wird siegen."
Es war ein Witz auf einem Friedhof. Weniger als ein Jahr zuvor war Malaysia-Airlines-Flug 370 mit 239 Menschen an Bord vom Radar verschwunden. Vier Monate danach wurde Flug 17 über der Ukraine aus dem Himmel geschossen. Jetzt hatte eine Gruppe Teenager den eigenen Schmerz der Airline in eine Pointe verwandelt — und sie direkt an der Eingangstür platziert, ohne jemals einen ihrer Server anzufassen.
Genau dieser letzte Punkt ist die eigentliche Geschichte. Malaysia Airlines wurde nicht „gehackt", wie die meisten Menschen es sich vorstellten. Die Buchungssysteme waren intakt. Die Passagierdaten blieben unangetastet. Was die Angreifer in Besitz nahmen, war etwas Grundlegenderes und, wie sich herausstellte, weit Leichteres: den Domainnamen selbst — die Adresse, die dem gesamten Internet mitteilt, wo „Malaysia Airlines" zu finden ist.
Dies ist ein Domain-Mayday-Fall über den Teil Ihrer Infrastruktur, über den Sie wahrscheinlich nie nachdenken — bis er plötzlich woanders hinzeigt.
Eine Airline ist ihre Domain
Für einen globalen Carrier ist die Website keine Broschüre. Sie ist die Kasse, der Check-in-Schalter und das Callcenter — alles gebunden an eine einzige Zeichenkette: malaysiaairlines.com.
Jede Buchung, jedes Treueprogramm-Login, jeder „Meinen Flug verwalten"-Link in jeder Bestätigungsmail wird über diese Domain aufgelöst. Wenn ein Passagier in Kuala Lumpur oder London sie eintippt, läuft eine unsichtbare Kette ab: Der Browser fragt das Domain Name System (DNS) „Wo lebt malaysiaairlines.com?", DNS antwortet mit einer IP-Adresse, und der Browser stellt die Verbindung her. Die Marke der Airline, ihre Umsätze und das Vertrauen ihrer Kunden hängen alle an dieser einen Abfrage — und davon, dass sie die richtige Antwort zurückliefert.
DNS ist das Adressbuch des Internets. Für die meisten Organisationen ist es auch die am wenigsten bewachte Tür des Gebäudes. Man kann Millionen ausgeben, um Server zu härten, Datenbanken zu verschlüsseln und Mitarbeiter gegen Phishing zu schulen — und das alles nützt nichts, wenn jemand still und leise die Zeile im Adressbuch ändern kann, die besagt, wohin Ihr Name zeigt. Die Adresse umleiten, und man hat das Unternehmen umgeleitet — ohne je in das Gebäude einzubrechen.
Genau das ist passiert.
Der Hijack: eine Eidechse, wo eine Airline war
Der Angriff war auf maximale Grausamkeit ausgelegt. Das Bild einer Eidechse in festlicher Kleidung war Lizard Squads Markenzeichen; die Gruppe hatte im Dezember zuvor Xbox Live und das Sony PlayStation Network über die Feiertage lahmgelegt. Im Januar hatte sie sich in die Bildsprache eines „Cyber-Kalifats" gehüllt und posierte als ISIS-verbündet, obwohl Forscher diese Behauptung mit tiefer Skepsis betrachteten.
Die Website zeigte, wie Besucher feststellten, ein Bild einer Eidechse in Zylinder und Monokel sowie den Text „404-Plane Not Found". Wikipedias Beschreibung der Gruppe schildert dieselbe Szene: Nutzer wurden auf eine andere Seite mit dem Bild einer frackgekleideten Eidechse umgeleitet, und die Seite trug die Überschrift „404 - Plane Not Found", eine offensichtliche Anspielung auf den Verlust des Fluges MH370 im Vorjahr.
Die Grausamkeit war beabsichtigt. MH370 war am 8. März 2014 vom Radar verschwunden, alle 239 Menschen an Bord wurden schließlich für tot erklärt, und die Wrackteile wurden nie eindeutig gefunden. MH17 war am 17. Juli 2014 von russisch-gestützten Kräften mit einer Buk 9M38 Boden-Luft-Rakete abgeschossen worden, alle 298 Menschen an Bord kamen ums Leben. „Flugzeug nicht gefunden" auf der Homepage der Airline zu stempeln bedeutete, das schlimmste Jahr der Unternehmensgeschichte als Waffe einzusetzen — und es jedem Kunden zu präsentieren, der die Seite aufrufen wollte.
Dann kam die Drohung. Die Gruppe twitterte, dass sie „bald Beute von den Servern von www.malaysiaairlines.com veröffentlichen" werde, und postete sogar einen Screenshot, der angeblich Passagierreiserouten zeigte. Für eine Airline, die bereits in einem Jahr voller Katastrophen ertrank, war die Vorstellung, dass Kundendaten kompromittiert seien, eine eigene Art von Desaster.
Wie es geschah: das Adressbuch, nicht das Gebäude
Hier liegt der technische Kern des Vorfalls — und der Grund, warum dieser Fall in eine Domain-Sicherheitsserie und nicht in eine Server-Sicherheitsverletzungsserie gehört.
Die eigene Erklärung von Malaysia Airlines, in der gesamten Berichterstattung wiederholt, traf die Unterscheidung präzise: Malaysia Airlines bestätigt, dass sein Domain Name System (DNS) kompromittiert wurde, wobei Nutzer auf eine Hacker-Website weitergeleitet werden, wenn die URL www.malaysiaairlines.com eingegeben wird. Die Airline bestand darauf, dass ihre Website nicht gehackt wurde und dieser vorübergehende Fehler ihre Buchungen nicht beeinträchtigt und dass Nutzerdaten sicher bleiben, und fügte hinzu, dass ihre Webserver intakt sind.
Beides war gleichzeitig wahr: Die Website war zerstört, und die Server waren in Ordnung. Die Angreifer brauchten die Server nie. Wie The Register es formulierte: DNS-Einträge für die Website wurden manipuliert, sodass Surfer auf eine von Hackern kontrollierte Website umgeleitet werden. Sie änderten den Adressbucheintrag, nicht das Gebäude, auf das er zeigte. Selbst die Bösartigkeit wurde in den Metadaten hinterlegt: Eine Whois-Abfrage zu dieser Zeit zeigte ISIS will prevail als Titel der Website.
Wo wurde dieses Adressbuch geführt? Beim Registrar. Die Domain der Airline scheint bei Web Commerce Communications Limited — auch bekannt als Webnic — registriert zu sein, die Niederlassungen in Singapur, Malaysia und China hat. Dieser Name ist bedeutsam, denn Webnic sollte schon bald berüchtigt werden.
Einen Monat später stand derselbe Registrar im Mittelpunkt eines weit größeren Vorfalls. Wie Brian Krebs berichtete, übernahmen Angreifer die Kontrolle über Webnic.cc, den malaysischen Registrar, der sowohl diese Domains als auch 600.000 weitere betreut, und nutzten ihren Zugang bei Webnic.cc, um die Domain Name System (DNS)-Einträge zu ändern für Lenovo und Google Vietnam. Der Mechanismus, berichtete Krebs, war eine Command-Injection-Schwachstelle in Webnic.cc, um ein Rootkit hochzuladen — dauerhafter Zugang zu dem System, das kontrolliert, wohin Hunderttausende von Domains zeigen.
Man muss nicht in Google einbrechen, um google.com.vn umzuleiten. Man muss nicht in eine Airline einbrechen, um ihre Homepage umzuleiten. Man muss nur die Schicht kompromittieren, die die Antwort besitzt auf die Frage „Wo lebt diese Domain?" — das Registrar-Konto und die dahinterliegenden DNS-Einträge. Diese Schicht liegt außerhalb des Perimeters, den die meisten Unternehmen tatsächlich verteidigen.
Auswirkungen und Reaktion
Für die Airline war der Schaden eher reputationsbezogen und betrieblich als datenbezogen. Kunden, die buchen oder einchecken wollten, stießen auf eine Verunstaltung. Weltweit paarten Schlagzeilen die Wörter „Malaysia Airlines" mit „gehackt" — eine Marke, die bereits in der Krise war, wurde nun mit einer Eidechse assoziiert, die sie wegen ihres verschwundenen Flugzeugs verspottete.
Die Airline bemühte sich, den Schaden zu begrenzen — auf die einzige Art, wie ein DNS-Hijack eingedämmt werden kann: indem sie durch die Schicht arbeitete, die unterwandert worden war. Sie erklärte, das Problem mit ihrem Dienstleister gelöst zu haben, und dass das System voraussichtlich innerhalb von 22 Stunden vollständig wiederhergestellt sein werde. Dieser Zeitrahmen ist selbst ein DNS-Merkmal: Selbst nachdem man die Einträge berichtigt hat, kann die falsche Antwort in Caches auf der ganzen Welt verweilen, bis sie abläuft. Ein Hijack ist schnell durchgeführt und nur langsam vollständig rückgängig zu machen.
Was die Drohung mit dem Datendump betrifft, hielt die Airline ihre Linie — Buchungen nicht beeinträchtigt, Nutzerdaten gesichert — und die katastrophale Datenpanne, mit der die Gruppe prahlte, materialisierte sich nie wie beschrieben. Aber „Wir wurden nicht wirklich angegriffen, die Angreifer kontrollierten nur fast einen ganzen Tag lang unsere gesamte öffentliche Identität" ist eine schwierige Botschaft für die Reisenden. Für einen Kunden, der auf „404 — Flugzeug nicht gefunden" starrt, ist der Unterschied zwischen einer Server-Kompromittierung und einem DNS-Hijack unsichtbar. Die Website war die Airline. Und für einen Tag gehörte die Website jemand anderem.
Was dies über DNS als Ihre Eingangstür lehrt
Der Malaysia-Airlines-Hijack ist genau deshalb eine Lehrbuchlektion, weil im herkömmlichen Sinne nichts kompromittiert wurde. Die Erkenntnisse lassen sich auf fast jede Organisation im Internet übertragen:
-
Ihre Domain ist ein einziger Ausfallpunkt, den Sie nicht allein kontrollieren. Der Registrar hält den Haupteintrag darüber, wohin Ihr Name zeigt. Wenn die Kontosicherheit — oder die Software — des Registrars versagt, sind Ihre perfekt gehärteten Server irrelevant. Webnic bewies dies zweimal in einem Monat: einmal mit einer Airline und dann mit Google und Lenovo.
-
Ein DNS-Hijack erfordert keinen Einbruch bei Ihnen. Angreifer leiteten das Adressbuch um, nicht das Gebäude. Abwehrmaßnahmen, die Ihre Server, Ihren Code und Ihr Netzwerk überwachen, können einen Angriff verpassen, der vollständig auf der Namensschicht stattfindet.
-
Sperren Sie die Einträge, die Ihren Namen verschieben können. Registry Lock und Sperren auf Registrar-Ebene existieren genau dafür, unautorisierte Änderungen an Ihren DNS- und Nameserver-Einträgen zu verhindern — sie fügen einen manuellen, Out-of-Band-Schritt hinzu, bevor jemand Ihre Domain umzeigen kann. Bei einer hochwertigen Domain sind sie keine Option, sondern Pflicht.
-
Greifen Sie zu DNSSEC und 2FA beim Registrar. Starke Authentifizierung am Registrar-Konto und DNSSEC-Signierung der Zone erhöhen die Hürde für genau den stillen Eintrags-Austausch, der Malaysia Airlines verunstaltete.
-
Die Wiederherstellung dauert länger als der Angriff. TTLs und globale Caches bedeuten, dass ein Hijack seinen Fix überlebt. Planen Sie für das Bereinigungsfenster, nicht nur für den Patch.
Die unbequeme Zusammenfassung: Die meisten Unternehmen bewachen das Gebäude und hinterlassen einen Klebezettel an der Eingangstür, der allen mitteilt, in welches Gebäude sie gehen sollen. Ändern Sie den Zettel, und Sie haben das Unternehmen umgezogen.
Der Namefi-Blickwinkel
Der Malaysia-Airlines-Hijack ist im Kern eine Frage darüber, wer berechtigt ist zu ändern, wohin ein Name zeigt — und wie leicht diese Autorität auf der Registrar-Ebene still gestohlen werden kann. Der Angriff besiegte keine Kryptographie und knackte keine Datenbank. Er besiegte die weiche, kontobasierte Steuerungsebene, die die wichtigste Tatsache über eine Domain entscheidet: wohin sie aufgelöst wird.
Namefi basiert auf der Idee, dass Domain-Eigentum und -Kontrolle sich wie ein nachweisbares, interneteigenes Asset verhalten sollten — und nicht wie ein Eintrag in der Datenbank eines Registrars, den ein einziges kompromittiertes Konto überschreiben kann. Tokenisiertes Eigentum macht die Frage „Wer kontrolliert diese Domain, und hat sich diese Kontrolle gerade geändert?" prüfbar und manipulationssicher — bei gleichzeitiger Kompatibilität mit DNS. Die Abwehr gegen einen Hijack besteht nicht nur in stärkeren Passwörtern — es geht darum, unautorisierte Änderungen sichtbar und nachweisbar statt unsichtbar zu machen.
Malaysia Airlines verlor nie seine Server. Es verlor die Antwort auf eine einzige Frage — wohin zeigt dieser Name? — für etwa einen Tag. Das Flugzeug wurde nie gefunden. Auch die Website hätte nie verloren gehen dürfen. Die Lektion von Domain Mayday lautet: Das Adressbuch ist Teil des Perimeters, und der Tag, an dem man das vergisst, ist der Tag, an dem eine Eidechse mit Zylinder in Ihre Eingangstür einzieht.
Quellen und weiterführende Lektüre
- TechCrunch — Malaysia Airlines Site Hacked By Lizard Squad
- The Register — Lizard Squad threatens Malaysia Airlines with data dump
- BankInfoSecurity — Malaysia Airlines Website Hacked
- Computerworld — Malaysia Airlines claim DNS hijacked, site not hacked, but attackers threaten data dump
- Infosecurity Magazine — Malaysia Airlines Site Back Up as Hackers Threaten Data Dump
- Krebs on Security — Webnic Registrar Blamed for Hijack of Lenovo, Google Domains
- Help Net Security — Lenovo.com hijacking made possible by compromise of Webnic registrar
- ABC News — Malaysia Airlines Hit by Lizard Squad Hack Attack
- NBC News — Lizard Squad Claims It Hacked Malaysia Airlines Website
- IT Security Guru — Lizard Squad hijacks Malaysia Airline DNS
- Wikipedia — Lizard Squad
- Wikipedia — Malaysia Airlines Flight 370
- Wikipedia — Malaysia Airlines Flight 17
Über die Autor*innen
Verwandte Leitfäden
- Die 12-Dollar-Minute: Als jemand google.com stillschweigend kaufteIm September 2015 kaufte ein ehemaliger Google-Mitarbeiter google.com über Google Domains für 12 Dollar und hatte etwa eine Minute lang die administrative Kontrolle über die wertvollste Domain der Welt. Die Geschichte von Sanmay Ved, dem 6.006,13-Dollar-Kopfgeld und was eine Minute Eigentumsrecht darüber verrät, wer wirklich eine Domain kontrolliert.
- Domain Mayday EP03: Die Twitter-Bitcoin-Kontoübernahme 2020Am 15. Juli 2020 verschafften sich Angreifer per Telefon Zugang zu Twitter, übernahmen die verifizierten Konten von Obama, Biden, Musk, Gates, Apple und Uber und führten einen Bitcoin-Verdopplungsbetrug durch – mit einer Beute von rund 118.000 US-Dollar. Eine Tiefenanalyse, wie die Kontrolle über eine Online-Identität gestohlen wurde und was das für den Besitz eines Namens bedeutet.
- Domain Mayday EP05: Der Squarespace-DeFi-Domain-Massenraub 2024Im Juli 2024 verwandelte eine Registrar-Migration von Google Domains zu Squarespace schwache Standard-Authentifizierung in eine Massenangriffsfläche. Angreifer kaperten die Domains von Krypto- und DeFi-Projekten – Compound Finance, Celer Network, Pendle, Unstoppable Domains – und leiteten sie auf Wallet-Drainer-Phishing-Seiten um. So schuf eine „nahtlose" Migration hunderte ungesicherter Eingangstüren, und was das über Registrar-Sicherheit und MFA lehrt.
- Der BadgerDAO-Frontend-Angriff: 120 Millionen Dollar durch ein eingeschleustes Skript abgezogenIm Dezember 2021 kompromittierten Angreifer das Cloudflare-Konto von BadgerDAO und schleusten ein bösartiges Skript in das Website-Frontend ein. Die auditierten Smart Contracts wurden nie berührt — und dennoch verschwanden rund 120 Millionen Dollar durch Wallet-Freigaben, die Nutzer unwissentlich unterzeichneten. Eine Tiefenanalyse darüber, warum die Website Teil Ihrer Sicherheitsoberfläche ist.