Laut den Forschern sind täglich über eine Million Domains für diesen Angriff anfällig, der leicht durchzuführen, schwer zu erkennen und bisher weitgehend unbekannt ist. Die "Sitting Ducks"-Angriffe nutzen Fehlkonfigurationen zwischen Domain-Registraren und DNS-Dienstleistern aus.

Angreifer können Domains übernehmen, wenn diese einen "lamen" DNS-Eintrag aufweisen – das heißt, wenn der autorisierte Nameserver keine Informationen über die Domain besitzt. Dies ermöglicht es den Angreifern, die Domain bei einem anfälligen DNS-Anbieter zu "beanspruchen" und eigene DNS-Einträge zu erstellen, ohne Zugriff auf das Konto des rechtmäßigen Besitzers zu haben.

Die Forscher haben entdeckt, dass mehr als ein Dutzend Cyberkriminelle mit Verbindungen zu Russland diese Angriffsmethode bereits ausnutzen. Seit 2018 wurden über 35.000 Domains auf diese Weise gekapert, wobei die tatsächliche Zahl wahrscheinlich noch höher liegt.

Ablauf eines Angriffs

Ein typischer "Sitting Ducks"-Angriff könnte laut den Securityforschern folgendermaßen ablaufen: Das Unternehmen Beispiel GmbH registriert die Domain "beispiel-gmbh.com" bei einem Registrar A und richtet den autoritativen DNS-Dienst bei einem Anbieter B ein, der möglicherweise auch als Webhosting-Anbieter fungiert. Die Beispiel GmbH nutzt die Domain zunächst für ihre Website.

Nach einiger Zeit stellt das Unternehmen die aktive Nutzung der Domain ein, behält aber die Eigentumsrechte über den Registrar A bei. In der Zwischenzeit läuft der autoritativen DNS-Dienst oder der Webhosting-Service für "beispiel-gmbh.com" bei Anbieter B ab.

An diesem Punkt setzt der Angreifer an: Er erstellt ein Konto beim DNS-Anbieter B und "beansprucht" die Domain für sich. Der Angreifer erstellt dann eine gefälschte Website, die der der Beispiel GmbH ähnelt, und konfiguriert die DNS-Einträge bei Anbieter B so, dass Anfragen zur IP-Adresse auf diese gefälschte Website weitergeleitet werden.

Versucht der rechtmäßige Besitzer später, die DNS-Einträge für "beispiel-gmbh.com" beim DNS-Anbieter B zu konfigurieren, wird dies verweigert, da die Domain bereits vom Angreifer "beansprucht" wurde. So kann ein Angreifer die Kontrolle über eine Domain übernehmen, ohne das Konto des eigentlichen Besitzers zu kompromittieren.

Phishing- und Malware-Kampagnen

Die übernommenen Domains werden für verschiedene bösartige Aktivitäten genutzt, darunter Phishing-Kampagnen, Malware-Verteilung und Markenmissbrauch. Besonders besorgniserregend ist, dass viele der betroffenen Domains großen Marken oder sogar Regierungsbehörden gehören.

Trotz der Schwere der Bedrohung betonen die Forscher, dass "Sitting Ducks"-Angriffe verhindert werden können. Sie fordern eine gemeinsame Anstrengung von Domain-Besitzern, Registraren, DNS-Anbietern, Standardisierungsgremien und Regulierungsbehörden, um die Lücken in der Verwaltung von Domainnamen und DNS-Einträgen zu schließen.

Empfohlene Maßnahmen umfassen verbesserte Überprüfungsmechanismen bei der Domainregistrierung, proaktive Überprüfungen auf fehlerhafte DNS-Einträge und die Entwicklung von Methoden zur schnellen Erkennung und Behebung von Angriffen.