Malware: Godaddy seit Jahren von den gleichen Angreifern gehackt

Eine Gruppe von Angreifern hat den Webhoster Godaddy in den vergangen Jahren mehrfach gehackt. Zuletzt haben die Angreifer Quellcode kopiert, Schadsoftware auf Servern installiert und Kundendomains umgeleitet.

Entdeckt wurden die Angriffe im Dezember 2022, nachdem Kunden dem Webhoster berichteten, dass ihre Webseiten auf zufällige Domains umgeleitet wurden. Dabei stellte das Unternehmen fest, dass die gleichen Eindringlinge für bereits bekannte Angriffe in den Jahren 2020 und 2021 verantwortlich waren.

"Basierend auf unserer Untersuchung glauben wir, dass diese Vorfälle Teil einer mehrjährigen Kampagne einer organisierten Gruppe von Bedrohungsakteuren sind, die unter anderem Malware auf unseren Systemen installierten und Teile des Codes im Zusammenhang mit einigen Diensten innerhalb von Godaddy erlangten", schrieb das Hosting-Unternehmen an die US-Behörde Security and Exchange Commission (SEC).

Die organisierte Gruppe habe es auch auf andere Webhoster abgesehen - das bestätigten auch Strafverfolgungsbehörden, erklärte Godaddy. Das offenkundige Ziel sei es, Webseiten und Server mit Malware für Phishingkampagnen zu infizieren sowie diese zu verteilen. Demnach sollen die Angreifer in die CPanel-Konfigurationsserver eingedrungen sein.

Godaddy unter Beschuss

Der Webhoster Godaddy ist mit über 20 Millionen Kunden einer der größten Domain-Registrare weltweit. Im Jahr 2021 konnten Angreifer mit einem kompromittierten Passwort in die Wordpress-Hosting-Umgebung von Godaddy eindringen.

Betroffen waren 1,2 Millionen Kunden, auf deren E-Mail-Adressen, Admin-Passwörter für ihr Wordpress sowie sFTP- und Datenbank-Zugangsdaten die Eindringlinge zugreifen konnten. Bei einigen Kunden konnten laut dem Onlinemagazin Bleepingcomputer zudem die privaten TLS-Schlüssel abgegriffen werden.

Im Jahr zuvor konnten Eindringlinge auf die Hauptkonten von 28.000 Kunden zugreifen. In allen drei Fällen soll es sich um die gleichen Angreifer handeln.