Riesiges IoT-Botnetz im Hintergrund
Hinter der Attacke steckte ein riesiges IoT-Botnetz. Wie schon bei den Attacken auf den Security-Blog von Brian Krebs und auf den französischen Hoster OVH, informierte netzwoche.ch unter Berufung auf Erkenntnisse des Beratungsunternehmens Flashpoint.
Wie Flashpoint herausgefunden hatte, war es kein professioneller Angriff von Cyberkriminellen. Einfache Scriptkiddies, also Amateure, sollen hier am Werk gewesen sein. Darauf wies laut Flashpoint der verwendete Command-and-Control-Server hin. Die Attacken auf Krebs und OVH liefen über andere Server. Ungewöhnlich war auch die für die Dyn-Attacke verwendete Infrastruktur. Diese wurde zuvor bereits bei Attacken auf einen bekannten Videospielentwickler verwendet. In diesem Zusammenhang geht Flashpoint davon aus, dass staatlich finanzierte Cyberkriminelle nicht solche Ziele angreifen würden.
War Hackforums.net beteiligt?
Vermutungen des Flashpoint Teams zu Folge gibt es eine Verbindung zwischen der Dyn-Attacke und dem englischsprachigen Forum Hackforums.net. Die Mitglieder des Forums seien bekannt für vergleichbare Attacken, wenn auch in einem kleineren Maßstab.
Dagegen soll hinter den Attacken auf Krebs und OVH das Tool Mirai stecken. Es wurde Mitte Oktober von einem Nutzer auf Github veröffentlicht. Mit Hilfe diese Tools ist es möglich, besonders heftige DDoS-Attacken über ein IoT-Botnetz auszuführen.
Weiterführende Links:
DDoS-Attacken: Deutschland zurück in den Top 10
DDoS-Angriffe über die Cloud nehmen drastisch zu
Link11-DDoS-Report: Cyber-Kriminelle haben Linux-Rechner, WordPress und IoT ins Visier genommen
flashpoint-intel.com : An After-Action Analysis of the Mirai Botnet Attacks on Dyn
netzwoche.ch: Das Gruselkabinett der Schwachstellen