Aus dem Internet der Dinge wird eine Armee der Dinge

Die Verantwortlichen für den massiven DDoS-Angriff auf DNS-Server am Wochenende sind noch nicht bekannt, neben Scriptkiddies, Kriminellen oder Hackergruppen werden auch die üblichen Verdächtigen Russland oder China genannt

Schon länger wurde vor den Risiken des Internet of Things (IoT) gewarnt. Wenn Milliarden von Dingen, Maschinen, Geräten etc. mit dem Internet und oft nicht gut gesichert verbunden werden, steigt das Risiko entsprechend an, dass sie gehackt, manipuliert oder lahmgelegt werden können. Dass es dabei keineswegs nur um die Risikoanfälligkeit einzelner Dinge geht, demonstrierte der DDoS-Angriff am Freitag und Samstag, der Websites von amerikanischen Unternehmen wie Twitter, Netflix, Paypal, Shopify, Github, Airbnb, Reddit oder Spotify an der Ost- und Westküste, aber auch in Teilen Europas zeitweise unerreichbar machte. Betroffen sollen auch die Netzwerke von PlayStation und Xbox Live gewesen sein.

Vermutlich hat der Angreifer oder haben die Angreifer keine übernommenen Computer wie üblich zu einem Botnetz verbunden, sondern Millionen von Geräten und damit eine Angriffskapazität von mehr als einem Terabyte pro Sekunde erreicht. Solche Angriffe gab es in diesem Jahr bereits mehrere Male. So wurde auf die Website des Security-Bloggers Brian Krebs im September ein DDoS-Angriff mit einem IoT-Botnetz mit Spitzen von 620 Gigabit pro Sekunde ausgeführt. Die Website wurde dadurch lahmgelegt, obgleich sie von Akamei vor solchen Angriffen geschützt werden sollte. Aber der Angriff war zu massiv und der bis dahin stärkste.

Er wurde allerdings übertrumpft von einem Angriff auf die Server des französischen Hosters OVH, der mit Spitzen von über 1,1 Terabit die Sekunde geführt wurde. Vermutet wurde bereits, dass hier Tausende von Überwachungskameras in Privatwohnungen oder von Firmen und Festplatten-Receiver zum Einsatz kamen. Alle oder fast alle scheinen von einem chinesischen Hersteller zu kommen, die nach Allison Nixon von der Sicherheitsfirma Flashpoint nicht gesichert werden können, wenn sie nicht vom Internet getrennt werden.

Vermutlich waren es dieselben Personen, die nun einen weiteren großen Angriff mit der IoT-Methode ausgeführt haben. Gut möglich, dass die Absicht besteht, mit der Demonstration Unternehmen erpressen zu können. Womöglich war es auch schon ein erster Akt, um die notwendige Aufmerksamkeit auf drohende Folgen zu schaffen, da der Angriff angekündigt gewesen zu sein scheint. Brian Krebs verweist auf eine Nachricht, die vielen Unternehmen am Montag vor der Attacke zugegangen sein soll:

Your network will be DDoS-ed in 96 hours if you will not pay 2 Bitcoins at [XXX] address. If you will not pay in time, DDoS attack will start, your web-services will go down permanently. After that, price to stop will be increased to 5 BTC with further increment of 5 BTC for every day of attack. NOTE, i'm not joking. My attack are extremely powerful now - now average 700-800Gbps, sometimes over 1 Tbps per second. It will pass any remote protections, no current protection systems can help.

Angriffswarnung

Im September war der Quellcode für ein neues IoT-Botnet-Programm mit dem Namen Mirai in einem Hackerforum von Anna_Senpai veröffentlicht worden (Mirai Attacks). Die Angriffe auf Krebs und die neuen Angriffe scheinen zumindest teilweise mit diesem Programm durchgeführt worden zu sein. Der neue Angriff richtete sich primär gegen den DNS-Provider Dyn, wobei die Internetnutzer aus Teilen der USA größere Probleme mit der zeitweisen Erreichbarkeit der Websites hatten als solche aus Europa oder Asien. Dyn wirbt damit, Websites vor DDoS-Angriffen schützen zu können. Die Firma sagt, dass ihre Server über das Mirai-Botnet von 10 Millionen Geräten bzw. IP-Adressen angegriffen worden seien.

Will das militärische Cyberkommando eines Staats seine Waffen für einen Cyberwar einstellen?

Mit dem Lahmlegen von Domain Name Service Providern lässt sich ein größerer Wirkungsgrad von DDoS-Angriffen erzielen, weil man damit nicht nur einzelne Websites, sondern eine ganze Domain oder eine Domain in einem bestimmten Gebiet zeitweise ausschalten kann. Domain Name Server haben eine entscheidende Funktion für den Betrieb es Internet. Aufrufe einer URL werden dort in die numerische IP-Adresse umgewandelt und damit zum richtigen Rechner geleitet. Fallen solche Server aus, werden die Anfragen nicht weitergeleitet, obgleich die Websites weiter erreichbar sind, wenn man ihre IP-Adresse eingibt

Verantwortlich für die Angriffe will eine Hackergruppe mit dem Namen New World Hackers gewesen sein. Gegenüber der Anonymous Intelligence Group sagten, dass sie über ein Botnet von 100000 IoT-Geräten verfügen würden. Sie würden jedes Jahr einen Angriffstest durchführen, um die Kapazitäten zu erkennen. Dieses Mal sei der Angriff gegen Russland geführt worden. Das wäre natürlich eine interessante Theorie. Nach den angeblichen Hackern sei ihr Angriff zum Guten erfolgt: "Russland sagt, dass sie besser als die USA sind, alles hacken zu können, um zu versuchen, einen Krieg zu beginnen. Wir werden ihnen ein Krieg vorführen." Auf die Frage, ob sie sich unterschätzt fühlten, stimmten sie dem zu: "Jeder bezweifelt unsere Möglichkeit, bis sie es selbst sehen." Man wolle nicht von FBI-Agenten verfolgt werden: "Deswegen sind wir in Russland." Eine krude Weltsicht, aber wer weiß.

Wer auch immer die Täter waren, sie haben gezeigt, wie sich das viel gepriesene Internet der Dinge in eine Armee der Dinge verwandeln lässt, um Teile des Internet lahmlegen zu können. Interessant wäre dies für einen Cyberwar, aber auch für Aufständische oder eben Kriminelle, die als Wegelager drohen, den Internetverkehr zu einer Internetpräsenz oder auch zu vielen lahmzulegen, um Geld von den Betreibern zu erpressen, die Einnahmeverluste oder Imageprobleme fürchten. Für Angreifer ist es leichter, ein Botnet mit oft wenig gesicherten und daher leichter zu kapernden IoT-Geräten zusammenzuschalten als eines mit Computern. Und die Zahl der IoT-Geräte wächst explosiv an, was auch die Angriffskapazität entsprechend vergrößert. So hat sich die Angriffswucht innerhalb von Wochen fast verdoppelt.

Der Sicherheitsexperte Bruce Schneier geht jetzt zwar davon aus, dass China nicht hinter dem jüngsten DDoS-Angriff, aber er hatte schon zuvor bei dem Angriff auf Krebs die Vermutung geäußert, dass die IoT-DDoS-Angriffe von einem großen Staat ausgehen könnten - China oder Russland, führte er an. Seit ein, zwei Jahren würden von jemand die Sicherheitsvorkehrungen von Firmen getestet, die kritische Strukturen des Internet betreiben. Es handle sich um genau kalibrierte Angriffe, um genau herauszufinden, was notwendig ist, um die Verteidigung zu überwinden. Schneier ist der Überzeugung, dass die Angriffe nicht auf Aktivisten, Kriminelle oder Forscher zurückzuführen sind, sondern auch angesichts der Größe etwa auf Geheimdienste oder das Militär: "Es sieht so aus, als ob das militärische Cyberkommando eines Staats seine Waffen im Fall eines Cyberwar kalibrieren will. Das erinnert mich an die US-Strategie im Kalten Krieg, über der Sowjetunion Flugzeuge in großer Höhe fliegen zu lassen, um diese zu zwingen, ihre Luftverteidigungssysteme anzustellen, womit ihre Kapazitäten gemessen werden konnten."

Aber die Angreifer sind weiterhin unbekannt. Natürlich werden einmal wieder auch die Russen genannt, die die US-Wahlen torpedieren wollen. Man könnte auch spekulieren, dass ein anderer Staat den Konflikt zwischen Russland und den USA mit einem solchen Angriff zu eigenen Gunsten verstärken will. Es gibt auch mehrere Gruppen, die das Mirai-Programm verwenden. Sie sollen sich auch schon mal gegenseitig angreifen. Vermutet wird freilich auch, dass es sich um Scriptkiddies handeln könnte, die mit dem Programm herumspielen, nicht um Staaten. Auf MalwareTech-Blog wird auch schon mal überlegt, welche Angriffskapazität vorhanden wäre, wenn tatsächlich 10 Millionen Geräte im Spiel gewesen wären, wie Dyn sagt. Wenn diese nur eine "Dritte-Welt-Upload-Geschwindigkeit" von 3 MB/s hätte, kämen auch schon 30 Terabyte zusammen: "Das ist wahrscheinlich genug, um die meisten Unterseekabel auszureizen und ein ganzes Land oder einen Internet-Backbone offline zu bringen."