Die DDoS-Attacke am Freitag, bei der Teile des Internets ausfielen, ist anders. Den Hackern gelingt es, die Schlüsselinfrastruktur zu knacken. Doch etwas ist merkwürdig. Genau das beunruhigt die Experten.
Eine so große Hackerattacke gab es so noch nie. Um die Server des US-Netzwerkdienstleisters Dyn zu blockieren, leiteten unbekannte Täter am Freitag einen Netzwerkverkehr von über einem Terabit an die Internetadressen des Unternehmens. Genug, um sie zeitweise in die Knie zu zwingen. Mit Dyn haben die Hacker eine Schlüsselinfrastruktur des Internets aufs Korn genommen. Der Dienst übernimmt die Internetadressverwaltung für diverse US-Online-Riesen, darunter Netflix und Amazon.
Bei dem Angriff, einer sogenannten DDoS-Attacke, handelte es sich im Prinzip um die Internetversion eines Telefonstreiches. Durch immerwährende Netzwerkanfragen lässt sich die Leitung eines Teilnehmers blockieren. Um jedoch die großen Leitungskapazitäten eines weltweit führenden Netzwerkdienstleisters komplett zu blockieren, sind sehr viele virtuelle Anrufer nötig. Die Hacker brauchen dafür den Zugriff auf Computer oder Netzwerkgeräte, die unter ihrem Kommando immer wieder Anfragen an die Server des Ziels schicken. So oft, dass legitime Nutzeranfragen nicht mehr durchdringen oder nur noch extrem verspätet beantwortet werden können.
Hacker setzen dafür sogenannte Botnetze ein. Das sind Millionen von Computern, die mit Schadsoftware infizierten wurden. Sie allesamt warten auf das Kommando von wenigen Kontrollservern der Hacker. Die Rechner werden so zu Armeen der Hacker und vollziehen ihre Aufträge. Die Attacke am Freitag erreichte Rekordwerte, Analysten zufolge waren über 20 Millionen Internetanschlüsse daran beteiligt.
Die Karte von norsecorp.com zeigt in Echtzeit globale Cyberattacken.
Fraglich ist, welchen Zweck die Täter mit ihrem Angriff verfolgt haben. Die Attacke hielt nur wenige Stunden an und richtete keinen dauerhaften Schaden an. Sie wirkte eher wie ein Test oder wie eine Machtdemonstration der Täter. „Ich kann mir durchaus vorstellen, dass hier eine Cyberwaffe getestet wurde“, kommentiert Klaus Landefeld, Vorstand Infrastruktur und Netze des Verbandes der Internetwirtschaft, Eco. „Das hier gezeigte Netzwerkvolumen reicht aus, um einzelne Internet-Provider in die Knie zu zwingen.“
Die Hacker wählten ihr Ziel sehr geschickt aus
Mit Blick auf die Netzwerkkapazitäten im weltweiten Internet hätte der Angriff vom Freitag genügt, um internationale Ziele erfolgreich anzugreifen. Die Seekabel, die diverse afrikanische Nationen ans Internet anbinden, wären mit einem Volumen von über einem Terabit völlig überlastet. Auch die Internet-Provider kleinerer Republiken in Zentralasien oder im Kaukasus wären mit einem solchen Angriff komplett überfordert. Die unbekannten Täter haben am Freitag also demonstriert, dass sie ausreichende Kapazitäten dafür haben, ganze Nationen vom Netz abzuschneiden.
Landefeld hält es für wahrscheinlich, dass die unbekannten Täter testen wollten, wie viel Netzwerkverkehr bestimmte Dienstleister im Internet vertragen können, bevor sie überlastet werden. „Die Täter können bei einem solchen Angriff beobachten, wie ihr Opfer reagiert – welche Maßnahmen gegen den Angriff eingesetzt werden, welche Dienste und Dienstleister wie vernetzt sind. Sie identifizieren Schlüsselinfrastrukturen für spätere Attacken.“
Die Hacker hatten ihr Ziel sehr geschickt ausgewählt. Dyn bietet einen Service namens DynDNS an, der eine Art Telefonbuch im Netz ist. Der Dienst verknüpft Domain-Namen mit den physischen Netzwerkadressen der Server der Domain-Inhaber. Er sorgt also dafür, dass ein Nutzer bei der Eingabe von amazon.com in seinem Browser auch tatsächlich mit den Servern von Amazon verbunden wird.
„Ein Angriffsvolumen von über einem Terabit pro Sekunde hätte die Server von Amazon oder Netflix nicht direkt stören können – diese Konzerne haben sehr gut ausgebaute Anbindungen ans Internet“, kommentiert Landefeld. „Doch wenn man stattdessen einfach ihren DNS-Service blockiert, stellt man sie dennoch faktisch offline.“
Welche Netzwerkinfrastrukturen sind tatsächlich kritisch?
Da ein DNS-Service normalerweise nur einfache Anfragen nach dem Muster „Domainname X ist mit IP-Adresse Y verknüpft“ beantworten muss, sind die Server von Dyn augenscheinlich nicht für so großen Netzwerkverkehr ausgelegt. Der Markt für DNS-Service-Anbieter war in den vergangenen Jahren zudem geschrumpft, da sich viele kleinere Dienstleister zusammengetan haben. Wenige Unternehmen verwalten also das Telefonbuch für jeweils viele große Internetfirmen. Dementsprechend erfolgreich waren die Täter mit ihrer Attacke auf Dyn.
Der Verband Eco betreibt mit dem Frankfurter Internetknoten DE-CIX den nach Netzwerkverkehr größten Internetknoten der Welt. Die deutsche Internetinfrastruktur wäre durch einen Angriff in der Dimension vom Freitag aktuell nicht direkt gefährdet, erklärt Landefeld: „Wir halten aktuell Reservekapazitäten von über 20 Terabit vor.“
Doch durch die zunehmende Vernetzung diverser großer Services hat niemand mehr den Überblick, welche Netzwerkinfrastrukturen tatsächlich kritisch sind, kommentiert Klaus Landefeld: „Vor der Attacke vom Freitag hätte ich auch nicht gedacht, dass DynDNS eine solche Schlüsselrolle in der Verwaltung des Internets spielt und gleichzeitig so verletzlich gegen DDoS-Angriffe ist. Hier hat jemand systematisch ausprobiert, ob seine Kapazitäten für einen solchen Angriff ausreichen – und welche Ziele sich lohnen.“
Normalerweise sind solche Angriffe immer auch für den Angreifer mit Risiken und Kosten verbunden. Denn mit der Attacke legt er offen, welche Kapazitäten seine Botnetze haben, welche Computer und Netzwerkgeräte Teil der Zombie-Armee sind. Das erkennen zum Beispiel die IT-Security-Unternehmen und Sicherheitsforscher, die gegen Botnetze vorgehen.
Die Täter setzten keine gewöhnlichen Computer ein
Eine Hackergruppe muss also damit rechnen, dass nach dem Angriff die Struktur ihrer Botnetze analysiert wird. Dann können die Zombie-Rechner durch Updates gesichert werden, Kommando-Server können von Polizei und Sicherheitsbehörden vom Netz genommen werden.
Doch in dem jüngsten Fall ist das Risiko der Hacker, ihre Botnetze durch Sicherheits-Updates zu verlieren, sehr gering. Denn die Täter setzten für den Angriff keine gewöhnlichen Computer ein, sondern hackten Geräte im Internet der Dinge. Teil der Zombie-Truppe sind sowohl Haushaltsgeräte als auch Firmentechnik. Der Netzwerkdienstleister Akamai nannte in einer Analyse unter anderen Überwachungskameras, digitale Videorekorder und Beleuchtungssysteme.
Viele der Geräte haben laut einer Analyse des Sicherheitsforschers Brian Krebs gemeinsam, dass sie von einer chinesischen Firma namens XiongMai Technologies hergestellt wurden – und so billig konstruiert sind, dass kein Sicherheits-Update möglich ist. Solange die Geräte am Netz hängen, lässt sich die Cyberwaffe der Hacker nicht außer Gefecht setzen.
Die Schadsoftware zum Hacken der Geräte ist mittlerweile unter dem Namen Mirai wohlbekannt. Der Programmcode von Mirai wurde vor einigen Wochen im Internet veröffentlicht. Die Täter verwischen damit geschickt ihre Spuren, denn nun kann potenziell jeder mäßig begabte Hacker seine eigene Cyberwaffe bauen, Angriffe lassen sich nicht mehr einfach zuordnen.
Antworten