DDoS verursacht DNS-Probleme

Mirai-Botnet attackiert DNS-Anbieter Dyn.com

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Der DNS-Anbieter Dyn.com wurde Opfer einer massiven DDoS-Attacke.
Der DNS-Anbieter Dyn.com wurde Opfer einer massiven DDoS-Attacke. (Bild: geralt - Pixabay / CC0)

Der DNS-Anbieter Dyn.com wurde Opfer eine weitreichenden DDoS-Attacke, der teilweise zu Problemen bei der Auflösungen von Web-Adressen führte. Die Attacken werden dem Mirai-Botnet zugeordnet, das in den letzten Wochen bereits mehrfach zugeschlagen hat und sich vor allem durch hohen Datenverkehr auszeichnet.

Am Freitag war der DNS-Anbieter Dyn.Com Opfer einer DDoS-Attacke. An sich ist das keine Neuigkeit, allerdings war sowohl der Umfang des Angriffs wie auch die Auswirkungen so groß, dass zu weitreichenden Störung populärer Dienste, darunter etwa Netflix oder Reddit, kam. Im Blog erklärt Dyn, dass DDoS-Attacken eigentlich keine neue Sache seien, eher ein regelmäßiges Vorkommen. Dieser Angriff allerdings wurde von IP-Adressen im zweistelligen Millionenbereich durchgeführt. Das schiere Volumen dieses Angriffs war laut Dyn in einer komplett neuen Liga. Teilweise musste das Unternehmen Nutzer von einem Rechenzentrum auf ein anderes umleiten, wodurch es zu Ausfällen für die Anwender kam.

Mirai-Botnet im Verdacht

Aufgrund des Angriffvolumens wurde schnell das Mirai-Botnet als Verdächtiger ausgemacht, eine Annahme, die von Flaspoint-Intel und Akamai bestätigt wurde. Das Botnet wurde in den letzten Wochen mit mehreren großflächigen Attacken in Verbindung gebracht, etwa einem Angriff auf Journalist Brian Krebs oder auf den Webhoster OVH. Mirai schafft dabei ein enormes Volumen an Datenverkehr, das Botnet nutzt vor allem schlecht gesicherte IoT-Geräte wie Netzwerkkameras oder -Videorekorder.

Mirai ist ein seltsames Botnet. Es ist relativ jung, verfügt aber scheinbar über Millionen infizierte Clients und baut sich stetig aus. Allerdings sind die Opfer seltsam: Angriffe wie auf Brian Krebs, OVH oder Dyn erzeugen ein enormes Medienecho und kurzfristige Problem, langfristig sind die Auswirkungen sind aber minimal. Der Quelltext des Botnets ist auf Github verfügbar, Experten analysieren diesen im Detail.

Dabei zeigt sich, dass Mirai nicht auf Zero-Day-Angriffe oder ähnliches setzt, um neue Clients zu infizieren. Stattdessen sucht die Malware nach öffentlich erreichbaren Netzwerkgeräten und probiert 60 verschiedene Nutzernamen und Passwörter um auf die Admin-Oberfläche zuzugreifen. Peinlich für die Hersteller von Netzwerkgeräten: Das reicht aus um Millionen von Endgeräte zu infizieren und diese für Angriffe zu nutzen.

Was wollen die Mirai-Besitzer?

Welche Ziele verfolgen die Hintermänner also? Für staatlich gelenkte Angriffe sind die Angriffe zu sichtbar, der Code wirkt deutlich weniger ausgereift als etwa Stuxnet. “Normale” Kriminelle, die mittels DDoS-Botnets Unternehmen erpressen wollen, wollen ebenfalls eigentlich nicht gesehen werden - wenn Botnets wie Mirai in den Fokus der Experten geraten, sind Gegenmaßnahmen meist nicht weit entfernt. Das scheint ein Chat-Ausschnitt zu bestätigen, der Teil des Botnet-Quelltexts ist, hierin beschwert sich ein Chat-Teilnehmer über den Angriff auf den Journalisten Krebs, dies sei genau das, was man nicht tun soll.

Selbst Sicherheitslegende Bruce Schneier ist skeptisch, was Mirai angeht. Obwohl er sich sicher ist, dass jemand lerne, das Internet auszuknipsen, denkt er nicht, dass Mirai dafür in Frage kommt. Dazu sei die Angriffssoftware zu “simpel und amateurhaft”. Allerdings gibt Schneier auch zu bedenken, dass die eigentlich genutzten Clients, die netzwerkfähigen Geräte, künftig ein Problem darstellen. Sicherheitslücken werden oftmals weder vom Hersteller noch vom Besitzer geschlossen, warum auch? “Die Geräte waren billig in der Anschaffung, sie funktionieren immer”, so Schneier in seinem Blog. IoT wird seiner Meinung nach unsicher bleiben, bis Regierungen entsprechende Vorschriften erlassen und Hersteller zu mehr Sicherheit zwingen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44337870 / DDoS und Spam)