Hazy Hawk: Wie verwaiste DNS-Einträge zur Einflugschneise für Schadsoftware werden : DNS-Hijacking über verwaiste Cloud-Ressourcen bedroht Unternehmen weltweit
Eine gut getarnte Cyber-Bedrohung namens Hazy Hawk kapert verwaiste DNS-Einträge, um Domains namhafter Organisationen zu übernehmen – darunter Ressourcen von Amazon, Microsoft oder der US-Gesundheitsbehörde CDC. Ziel ist nicht Spionage, sondern die massenhafte Verbreitung von Schadsoftware und Betrugsseiten über vertrauenswürdige Infrastrukturen.
Seit Ende 2023 häufen sich Vorfälle, bei denen Cyberkriminelle ungenutzte oder falsch konfigurierte Cloud-Ressourcen und DNS-Einträge kapern – mit teils gravierenden Folgen. Eine besonders aktive Gruppe ist unter dem Namen Hazy Hawk bekannt. Laut einer Analyse des DNS-Sicherheitsanbieters Infoblox nutzt diese Bedrohungsakteure gezielt verwaiste CNAME-Einträge im Domain Name System, um die Kontrolle über Subdomains namhafter Institutionen zu übernehmen.
Missbrauch vertrauenswürdiger Namen
Die Angriffe beginnen mit der Registrierung frei gewordener Cloud-Ressourcen – etwa Amazon S3 Buckets oder Microsoft Azure Endpunkte – deren frühere DNS-Verknüpfung bestehen geblieben ist. Sobald diese Ressourcen übernommen wurden, lassen sich die zugehörigen Domains manipulieren. Im Fall von Hazy Hawk wurden auf diese Weise unter anderem Subdomains der US-Gesundheitsbehörde CDC sowie von Unternehmen wie Deloitte, PwC oder Ernst & Young kompromittiert.
Die gekaperten Domains wirken auf den ersten Blick glaubwürdig – schließlich gehören sie scheinbar zu renommierten Organisationen. Dadurch genießen sie hohe Sichtbarkeit in Suchmaschinen und umgehen viele Sicherheitssysteme. Doch statt seriöser Inhalte liefern sie weitergeleitete Schad-URLs, Scam-Webseiten oder Fake-Apps. Die Opfer werden mithilfe sogenannter Traffic Distribution Systeme (TDS) in komplexe Weiterleitungsketten gezogen.
Adtech statt Cyberspionage
Bemerkenswert ist die Zielsetzung der Angreifer: Anders als bei typischen staatlich gesteuerten Cyberoperationen geht es nicht um Datenspionage oder politisch motivierte Sabotage. Vielmehr operieren Gruppen wie Hazy Hawk im Rahmen einer „grauen Werbewirtschaft“ – sogenannter Affiliate-Programme, die Geld für Besucherströme und Klicks zahlen. Besucher werden mit reißerischen Inhalten wie Erotik oder Raubkopien auf die manipulierten Seiten gelockt, wo sie zum Aktivieren von Push-Benachrichtigungen gedrängt werden. Einmal bestätigt, beginnt ein regelrechter Sturm aus betrügerischen Nachrichten:
- Scareware warnt vor angeblichen Viren,
- Fake-Umfragen locken mit Gewinnversprechen,
- und jede Benachrichtigung führt zu einer neuen, ebenso fragwürdigen Seite.
Technisch geschickt, schwer zu erkennen
Grundlage dieser Angriffe ist die Fähigkeit der Täter, die Kontrolle über verwaiste Domains mit sogenannten „hängenden“ (offenen) DNS-CNAME-Einträgen zu übernehmen – eine Technik, die bereits Anfang 2024 von Guardio dokumentiert wurde. Alles, was ein Angreifer tun muss, ist die fehlende Zielressource zu registrieren – und schon kann er die Domain kapern.
Hazy Hawk geht noch einen Schritt weiter: Die Gruppe sucht gezielt nach verwaisten Cloud-Ressourcen und nutzt diese anschließend für ihre schädlichen Zwecke. In einigen Fällen kommen dabei URL-Weiterleitungen zum Einsatz, um zu verschleiern, welche Cloud-Ressource konkret übernommen wurde.
„Wir verwenden den Namen Hazy Hawk für diesen Akteur, weil er verwaiste Cloud-Ressourcen mit hängenden DNS-CNAME-Einträgen aufspürt, übernimmt und für die Verbreitung schädlicher URLs einsetzt“, erklärt Infoblox. „Es ist möglich, dass das Domain-Hijacking als Dienstleistung angeboten wird und von mehreren Gruppen genutzt wird.“
Die Inhalte der übernommenen Domains werden dabei meist von echten Webseiten kopiert, um den Anschein von Seriosität zu wahren.
Schutz durch saubere DNS-Hygiene
Der effektivste Schutz vor diesem Angriff liegt in der Prävention. Domain-Inhaber sollten sicherstellen, dass alle DNS-Einträge entfernt werden, sobald eine Ressource abgeschaltet wird – besonders CNAME-Records, die auf externe Cloud-Dienste verweisen. Endnutzer wiederum sollten grundsätzlich keine Push-Benachrichtigungen von unbekannten Webseiten zulassen.
Der Fall Hazy Hawk zeigt, wie einfach sich vernachlässigte DNS-Konfigurationen in ein lukratives Geschäftsmodell für Cyberkriminelle verwandeln lassen. Der Missbrauch von Subdomains großer Organisationen für Betrug und Schadsoftware unterstreicht die Dringlichkeit von DNS-Sicherheitsaudits. Hazy Hawk ist nur eine von mehreren Dutzend ähnlich gelagerter Gruppen, aber im Moment die weitaus aktivste und gefährlichste.