Massiver DDoS Angriff gegen Dyn DNS Dienst, wie und warum?

Ein massiver DDoS Angriff mit dem Dyn DNS Service als Ziel verursachte einen ausgedehnten Ausfall des Internet. Wie haben die Angreifer den Angriff bewerkstelligt?

Ein massiver DDoS Angriff mit dem Dyn DNS Service als Ziel verursachte einen ausgedehnten Ausfall des Internet. Wie haben die Angreifer den Angriff bewerkstelligt?

Am 21.10.2016 verursachte ein massiver DDoS Angriff gegen den DNS Dienst der Firma Dyn company – einer der bedeutendsten Nameserverdienste – einen ausgedehnten Ausfall des Internet. Einem großen Teil aller Internet User war es nicht möglich, sich auf die wichtigsten Webdienste und Websites zu verbinden. Viele Websites, u.a. Twitter, GitHub, PayPal, Amazon, Reddit, Netflix und Spotify waren unnereichbar für Internet User in den USA.

Was ist passiert? Wer steckt hinter dem Angriff?

Die Angst vor weltumspannenden Cyberattacken verursachte bei vielen Menschen Panik. Gestern hat ein großer Teil der User vielleicht verstanden, dass die Architektur des Internet eine Ressource ist, die von Hackern ins Ziel genommen werden kann – mit ernstzunehmenden und unvorhersehbaren Konsequenzen.

Aber wie lief der Angriff ab? Was ist die Ursache hinter dem Angriff?

Wir verstehen die exakte Dynamik des Angriffs noch nicht, so wenig, wer die Verantwortlichen hinter dem Angriff sind. Das einzig Sichere ist, dass der Dyn DNS Service von zerstörerischen Wellen von Anfragen überflutet wurde. Ursprung der Anfragen waren Millionen von kompromittierten IoT (Internet of Things) Geräten.

Die Dyn Company berichtete über eine immense Armee an gekaperten „Internet der Dinge“ Geräten, die missbraucht werden konnten, um die Basis für diesen massiven DDoS Angriff zu bilden.

Die Medien bestätigten den gefährlichen Trend, der beobachtet werden kann. Wie z.B. der Angriff gegen Brian Krebs Website und die des französischen Webhosters OVH. Letztere hatte einen Spitzenwert über 1TBit/s.

Die Sicherheitsfirma Flashpoint veröffentlichte einen interessanten Post über den massiven DDoS, indem er bestätigt, dass seine Experten beobachten konnten, dass Mirai  Roboter den Angriff gegen DynDNS steuerten.

„Flashpoint hat bestätigt, dass es sich bei Teilen der Infrastruktur, die verantwortlich für den DDoS Angriff gegen DynDNS waren, um Botnetze handelt, die durch die Mirai Malware kompromittiert sind. Mirai Botnetze waren in der Vergangenheit bereits verantwortlich für den Angriff auf die Website „Krebs on Security“ und des französischen Hosters OVH.“ kann man der Analyse entnehmen, die Flashpoint veröffentlichte. „Der Mirai Schadcode hat IoT Geräte als Ziel, wie z.B. Router, Digitale Videorekorder sowie Web- und Sicherheitskameras, welches dann diese gewaltige Ansammlung an Geräten zu einem Botnetz zusammenfasst, um damit DDoS Angriffe durchzuführen.“

Unten die wichtigsten Funde des Reports, veröffentlicht von Flashpoint.

– Flashpoint hat bestätigt, dass Teile der Infrastruktur welche Verantwortlich für den DDoS Angriff gegen DynDNS waren, durch den Mirai Schadcode kompromittiert waren.
– Mirai Botnetze wurden in der Vergangenheit eingesetzt, um Angriffe gegen den „Krebs on Security“ Blog und OVH durchzuführen.

Das ist nicht überraschend, wenn man berücksichtigr, dass der Source Code des Botnets im bekannten, kriminellen Hacker Forum „Hackforum“ geleakt war. Dies fand Anfang Oktober durch den User „Anna-senpai“ statt, welcher einen Link zum Sourcecode der Schadsoftware „Mirai“ veröffentlichte.

Das durchsickern des Sourcecodes wurde Freitag in der Hacking Community Hackforums bekanntgegegeben. Die Schadsoftware mit dem Namen ´Mirai´ verteilt sich auf ungeschützen Geräten, in dem es kontinuierlich das Internet nach IoT Geräten absucht, die einfache Passwörter aus dem Werkszustand verwenden.“ berichtet Krebs

Das durchsickern des Sourcecodes wurde Freitag in der Hacking Community Hackforums bekanntgegeben. Die Schadsoftware mit dem Namen ´Mirai´ verteilt sich auf ungeschützen Geräten, in dem es kontinuierlich das Internet nach IoT Geräten absucht, die einfache Passwörter aus dem Werkszustand verwenden.“ berichtet Krebs.

Das Mirai Botnetz wurde zuerst vom Forscher MalwareMustDie diesen Sommer gesichtet. Das Botnetz zielt hauptsächlich auf Router, CCTVs und DVRs.

Der Mirai Schadcode nutzt die Schwachstelle der IoT Geräte, deren Passwörter sich noch im Auslieferungszustand befinden. Dies ist ziemlich verbreitet, da nur wenige User Ihre Passwörter ändern.

Die Verfügbarkeit des Mirai Sourcecodes im Internet macht es theoretisch für jeden möglich, ein Botnetz zu betreiben.

Es wird vermutet, dass das Durchsickern des Sourcecodes solch eines Botnetzes, auch eine groß angelegte Strategie von DDoS Angreifern sein kann, um die Angriffe nicht mehr bestimmten Personen oder Personenkreisen zuordnen zu können.

Man beachte: Das Mirai Botnetz, dass den DynDNS Service angegriffen hat, ist nicht das selbe, wie Krebs´s Seite oder OVH angegriffen hatte.

„Während Flashpoint bestätigte, dass Miarai Botnetze am Angriff des 21. Octobers 2016 beteiligt waren, wies man darauf hin, dass es getrennte, eigenständige Botnetze waren, die Krebs Security und OVH Anfang des Monats angriffen. Seit dem Veröffentlichen des Sourcecodes haben Nachahmungs-Hacker den Schadcode genutzt, um eigene Botnetze aufzubauen um diese für DDoS Angriffe zu nutzen.

Es ist unbekannt, ob die Angriffe gegen DynDNS etwas mit den vorangegangenen Angriffen gegen Krebs und OVH zu tun haben.

Der Angriff gegen einen DNS Dienst hat zum Ziel einen möglichst weiläufigen Effekt zu erzielen. In diesem Fall nutzen viele Website und Dienste Dyn als Upstream DNS Provider.

Wenn Sie daran interessiert sind, mehr über die Verteilung des Mirai Botnetzes zu erfahren, können Sie diesen Online Tracker nutzen. Er berichtet, dass mehr als 1,2 Millionen Geräte bereits mit dem Mirai Code infiziert sind.

Laut der Nachrichtenagentur Reuters, untersuchen das Department of Homeland Security und das FBI die massiven Attacken gegen den DynDNS Service.

Es gibt keine Hinweise auf mögliche Täter, wir denken, dass das durchsickern des Mirai Codes und die massiven Attacken zusammenhängen und das eine größere Strategie eines dauerhaften Angreifers hinter den Ereignissen steckt.

Mit freundlicher Genehmigung des englischen Originals von Pierluigi Paganini