Massive DDoS Attacke legt zig große Dienste lahm!

Ende September wurde der Security-Journalist und Blogger Brian Krebs Opfer eines massiven DDoS Angriffes. Jetzt zeigen die Botnetzbetreiber, dass sie nicht nur Blogs unerreichbar machen können. Zeitweise waren zig große Dienste nicht erreichbar. Dreh und Angelpunkt waren die DNS Server. Ein erstes Beispiel für Angriffe auf die kritische Infrastruktur?


Twitter, Spotify, Reddit und viele andere Dienste waren zeitweise nicht erreichbar!

Man könnte es als Angriff auf das Nadelöhr des Internets bezeichnen. DNS Server, deren Hauptaufgabe die Beantwortung von Anfragen zur Namensauflösung ist, sind unter der Last einer massiven DDoS Attacke zusammengebrochen. Folgende Dienste waren zeitweise nicht erreichbar:

  • Dyn
  • Twitter
  • Etsy
  • GitHub
  • Soundcloud
  • Spotify
  • Heroku
  • Netflix
  • Pagerduty
  • Shopify
  • Spotify
  • Intercom (App)

Attackiert wurde der DNS-Provider Dyn. Es sind wohl zahlreiche Droh-Emails bei den Betreibern eingegangen, fanden aber entweder keine Beachtung, oder den Forderungen wurde absichtlich nicht nachgekommen. Der entstandene Schaden wird in die Millionen gehen, da zeitweise auch Amazon in Deutschland nicht erreichbar war.




Wer hat die massive DDoS Attacke verursacht?

Die Verursacher der Attacke sind noch unbekannt. Die Heimatschutzorganisation, zu englisch Homeland Security, ermittelt bereits. Akamai, der Anbieter der den Blog von Brian Krebs kostenfrei gehostet hat, zeigt die Auswirkungen und andauernden Angriffe der DDoS Attacke auf einer Map.

Eine massive DDoS Attacke legt große Dienste lahm!
Der Real-Time Web-Monitor von Akamai (Quelle: Screenshot Akamai.com)

Akamai hat sich leider nicht weiter bereit erklärt, den Blog von Brian Krebs zu hosten, da die Kosten, um diesen vor DDoS Attacken zu schützen, viel zu hoch sind. Akamai hat Hosting für Brian gesponsort. Mittlerweile ist der Blog beim Project Shield von Google untergekommen.

Wie konnte die massive DDoS Attacke umgesetzt werden?

Hinter der Attacke steckt das Botnet Mirai. Der Source Code dieses Botnetzes ist auf GitHub frei verfügbar. Kompromittiert werden Geräte, welche zwar über Konnektivität verfügen, jedoch wenige bis gar keine Sicherheitsfeatures implementiert haben. So klappert das Botnetz Geräte ab und testet z.B. bekannte Benutzernamen/Passwortkombination ab:

  add_auth_entry("\x50\x4D\x4D\x56", "\x50\x4D\x4D\x56", 4);     // root   root
  add_auth_entry("\x50\x4D\x4D\x56", "\x13\x10\x11\x16\x17", 4); // root   12345
  add_auth_entry("\x57\x51\x47\x50", "\x57\x51\x47\x50", 3);     // user   user
  add_auth_entry("\x43\x46\x4F\x4B\x4C", "", 3);                 // admin  (none)
  add_auth_entry("\x50\x4D\x4D\x56", "\x52\x43\x51\x51", 3);     // root   pass

Durch eine große Anzahl an gefundener Geräte, konnte eine solche massive DDoS Attacke erst umgesetzt werden!

Meine Meinung zum Ausfall der Systeme und der DDoS Attacke!

Die Drohungen der Botnetzbetreiber, dass es aktuell keinen wirksamen Schutz gegen so massive DDoS Attacken gibt, ist nicht gelogen. Attacken in einer Größenordnung von 1 TB/s sind massiv und hält kaum ein Dienst aus. Die gezielte Attacke auf einen DNS Service ist entsprechend zielgerichtet. Attacken dieser Art (auf die Infrastruktur) funktionieren auch, um Websites im Darknet unerreichbar zu machen.

Der Angriff verursachte einiges an Schaden. Schuld sind viele Geräte, die schlecht oder vollkommen ungesichert am Netz hängen. Die Besitzer von IP-Cams sind sich teilweise gar nicht bewusst, dass die Kamera, welche den Garten im Blick hält, dafür sorgt, dass man zeitweise nichts über PayPal bezahlen konnte.

Es bleibt abzuwarten, wie viel wir noch von solchen Attacken hören. Sichtbar in der Größenordnung sind sie auf jeden Fall. Ein Szenario, in dem ein Krankenhaus, Netzbetreiber oder Telekommunikationsanbieter von der Außenwelt abgeschnitten wird, will ich mir nicht ausmalen.

Weitere Informationen und Quellen

[1] DDos Attacks against Dyn (Schneier.com)
[2] Cyberattackte aus dem Babyfon (Spiegel)
[3] DNS-Provider unter Attacke. Spotify, Netflix, Twitter und weitere betroffen (Caschy)
[4] DDoS-Attacke legt Twitter, Netflix, Paypal, Spotify und andere Dienste lahm (heise)
[5] Twitter, Reddit, Spotify Were Collateral Damage in Major Internet Attack (vice)
[6] DDoS-Angriff: Das steckt hinter dem Ausfall von Twitter, Soundcloud, Netflix und Spotify (t3n)
[7] Mirai Source Code – Botnet (github)


Schreibe einen Kommentar