Trotz einer massiven und langen DDoS-Attacke konnte Link11 die kritische IT-Infrastruktur des Kunden schützen. Der Angriff war nicht nur aufgrund seines öffentlichen Ziels beachtenswert, sondern auch wegen der Methoden, die die Angreifer einsetzten. Im Folgenden werfen wir einen detaillierten Blick auf die technischen Aspekte dieser Attacke.
Die Angriffstaktik war mehrstufig: Zunächst wurden kleinere, kaum wahrnehmbare Angriffe durchgeführt, die sich geschickt in den normalen Datenverkehr einfügten. Diese Vorbereitungsangriffe dienten vermutlich dazu, das System zu sondieren und potenzielle Schwachstellen zu identifizieren. Im Anschluss folgte ein über einen Zeitraum von fast genau 24 Stunden andauernder, massiver Angriff.
Die Angreifer setzten dabei auf eine raffinierte Technik, um ihren Angriff zu verschleiern. Sie imitierten den normalen Datenverkehr so präzise, dass die bösartigen Aktivitäten zunächst kaum von legitimen Traffic unterschieden werden konnten. Eine detaillierte Analyse der Daten war erforderlich, um die Manipulation des Datenverkehrs aufzudecken.
Die Attacke wies eine beispiellose Dynamik auf. Die Intensität der Attacke erreichte innerhalb kürzester Zeit ein Niveau, das auf eine präzise und gut orchestrierte Aktion hindeutet. Eine detaillierte Analyse des HTTP-Protokolls zeigt, dass es sich um bösartige Aktivitäten handelt. Bei der Analyse des Datenverkehrs wurde festgestellt, dass ein Großteil der Anfragen valide war, jedoch ein auffällig hoher Anteil fehlerhaft. Das Ungleichgewicht im Verhältnis von korrekten zu fehlerhaften Anfragen deutet klar auf eine Manipulation des Protokolls durch bösartige Akteure hin.
Besonders aufschlussreich war die Analyse der Captcha-Ergebnisse. Während bei legitimem Traffic üblicherweise eine hohe Erfolgsquote beim Lösen von Captchas zu erwarten ist, lag diese bei dem untersuchten Angriff bei lediglich vier Prozent. Dieser drastische Rückgang lässt auf den Einsatz von Bots schließen. Dabei ist jedoch zu beachten, dass die visuelle Herausforderung allein nicht ausschlaggebend ist.
Zwar sind einige Bots in der Lage, die visuelle Herausforderung zu meistern, doch fließen auch andere Parameter in die Bewertung ein, wie z.B. die Geschwindigkeit der Lösung oder das Muster der Mausbewegungen während der Interaktion. Insbesondere hochentwickelte Bots, die JavaScript ausführen und die visuelle Herausforderung tatsächlich lösen, könnten einige dieser Anforderungen erfüllen. Die geringe Erfolgsquote in Kombination mit der hohen Anzahl fehlerhafter HTTP-Anfragen deutet jedoch eindeutig auf einen koordinierten Angriff mit Hilfe eines Botnetzes hin.
Die Attacke zeichnete sich durch eine hohe Komplexität und Persistenz aus. Die Angreifer verfolgten eine mehrstufige Strategie, um ihre Ziele zu erreichen:
Die präzise Dauer des Angriffs – fast genau 24 Stunden – lässt den Schluss zu, dass es sich um eine Cybercrime-as-a-Service-Attacke handelt. Im Darknet werden DDoS-Angriffe häufig als Dienstleistung angeboten, wobei die Zeitfenster für die Durchführung der Angriffe klar definiert sind. Die Kosten sind dabei abhängig von der Dauer, dem Ziel und der Komplexität des Angriffs. Die in diesem Fall beobachtete Dauer von 24 Stunden entspricht exakt einem der gängigen Angebote im Darknet, was die Vermutung einer kommerziell erworbenen Attacke weiter stützt.
Ein Blick auf Preislisten im Darknet zeigt, dass eine 24-stündige DDoS-Attacke gegen eine ungeschützte Webseite mit einer Bandbreite von 10.000 bis 50.000 Anfragen pro Sekunde für rund 35 US-Dollar erworben werden kann. Für eine komplexere Attacke gegen eine geschützte Webseite mit mehreren Elite-Proxies können die Kosten jedoch schnell auf 170 US-Dollar oder mehr steigen. Angesichts der Größe und Dauer des Angriffs ist davon auszugehen, dass die Angreifer bereit waren, einen höheren Betrag zu investieren, um eine maximale Störung zu verursachen.
Die Netzwerkverteilung wurde analysiert, um zwei gängige Szenarien voneinander unterscheiden zu können: den Einsatz gemieteter Bots und die Nutzung kompromittierter Geräte. Bei gemieteten Bots ist typischerweise eine Konzentration auf wenige große Cloud-Provider zu beobachten. Im Gegensatz dazu zeigte die vorliegende Attacke eine breite Streuung der Angriffe über zahlreiche kleine Netzwerke. Dieses Muster ist charakteristisch für Botnetze, die aus einer Vielzahl kompromittierter privater Geräte bestehen. Die Tatsache, dass die Angriffe aus 110 verschiedenen Ländern stammten, unterstreicht die globale Reichweite dieses Botnetzes und erschwert die genaue Bestimmung der Herkunft der Attacke.
Der DDoS-Angriff verdeutlicht die Notwendigkeit, sich vor solchen Attacken zu schützen. Unternehmen sind daher gefordert, ihre IT-Infrastruktur kontinuierlich zu überwachen und auf den neuesten Stand zu bringen. Zudem ist es unerlässlich, sich der Risiken bewusst zu sein, die von Botnetzen ausgehen.
Was können Sie tun?
