Skip to content

DDoS-Angriffe aus dem IoT

Geschrieben von Carsten Eilers am um 09:48

Seit dem 20. September gab es mehrere DDoS-Angriffe, die von erst einem, dann mehreren Botnets aus IoT-Geräten ausgingen. Und deren Ziele und Auswirkungen sich immer weiter steigerten.

Der Angriff auf KrebsOnSecurity.com

Am Abend des 20. September wurde die Website des auf IT-Sicherheit spezialisierten Journalisten und Bloggers Brian Krebs, KrebsOnSecurity.com, Opfer eines DDoS-Angriffs. Die Website wurde vom Akamai vor solchen Angriffen geschützt, und der Angriff konnte auch erfolgreich abgewehrt werden. Obwohl er mit ca. 620 Gigabit Traffic pro Sekunde fast doppelt so groß wie der größte Angriff war, den Akamai zuvor beobachtet hatte (363 Gbps). Er gehörte damit zu den größten Angriffen, die im Internet bisher beobachtet wurden.

Normalerweise werden für DDoS-Angriff verschiedene Techniken genutzt, um den Traffic zu verstärken. Z.B., indem die Antworten auf gefälschte DNS-Anfragen auf das Ziel geleitet werden. Der Angriff auf KrebsOnSecurity.com ging dagegen ausschließlich von einem sehr großen Botnet aus, dass eine große Anzahl von Anfragen an den Webserver schickte, darunter SYN-, GET- und POST-Floods. Es gab Hinweise darauf, dass das für den Angriff genutzte Botnet zu einem großen Teil aus kompromittierten IoT-Geräten besteht.

Nachdem die DDoS-Angriffe weiter zunahmen, gab Akamai am 22. September auf und stellte den Schutz von Brian Krebs Website ein. Da Akamai KrebsOnSecurity.com kostenlos geschützt hat und dieser Schutz nun sehr teuer wurde, macht Brian Krebs Akamai keinen Vorwurf.

Am 25. September war die Website wieder online. Sie wird nun durch Googles "Project Shield" geschützt.

Der Angriff auf den Web-Hoster OVH

Was ist schon der Angriff gegen eine Website, wenn man auch gleich etliche auf einen Schlag lahm legen kann? Lächerlich - und das haben sich wohl auch die Cyberkriminellen gedacht. Am 20. September gab der Gründer des französischen Web-Hosters OVH, Octave Klaba, bekannt, dass sein Unternehmen Opfer eines DDoS-Angriffs war, der sogar den Angriff auf KrebsOnSecurity.com in den Schatten stellt: Es wurden insgesamt bis zu 1,1 Terabit pro Sekunde gemessen.

Die Angriffe gingen vom demselben Botnet aus, dass auch für die Angriffe auf KrebsOnSecurity.com genutzt worden war, und hielten mehrere Tage an. Anfangs gingen sie von einem aus 145607 Kameras und DVRs bestehenden Botnet aus, das eine Kapazität von mehr als 1,5 Tbps hatte. Nach und nach kamen weitere Geräte dazu: Erst 6857 Kameras, dann 15654 Kameras, dann noch mal 18000 Kameras.

Der Angriff auf den DNS-Dienstleister Dyn

Was ist schon der Angriff gegen einen Hoster, wenn man auch gleich etliche auf einen Schlag lahm legen kann? Noch lächerlicher als der auf eine einzelne Website - und auch das habe sich wohl auch die Cyberkriminellen gedacht. Am 21. Oktober kam es zu mehreren DDoS-Angriffen auf die Managed DNS Infrastruktur von Dyn. Dadurch waren die Nameserver von Dyn nicht erreichbar und DNS- Abfragen nach von Dyn verwalteten Domain-Namen schlugen fehl. Das betraf u.a. die Websites einiger großer Anbieter wie Amazon, GitHub, Netflix, PayPal, Reddit, Spotify und Twitter, die dadurch am 21. Oktober immer wieder zeitweise nicht zu erreichen waren.

Der Angriff auf Liberia

Eine einzelne Website, ein Hoster mit etlichen Websites, ein DNS-Dienstleister mit etlichen Hostern - was wäre die nächste Steigerung? Richtig: Ein ganzes Land. Ende Oktober gab es DDoS-Angriffe gegen die Internet-Infrastruktur des westafrikanischen Liberia. Dadurch waren anscheinend die dort gehosteten Websites zeitweise nicht zu erreichen, und auch die Internet-Verbindungen sollen zeitweise ganz ausgefallen sein. Das war möglich, da Liberia nur über ein einziges Untersee-Kabel mit dem Internet verbunden ist.

Brian Krebs hält die Berichte für übertrieben, er hat keine Beweise für einen landesweiten Ausfall des Internets gefunden. Die für die DDoS-Angriffe eingesetzten Botnets hätten zwar grundsätzlich die Kapazität für einen solchen Angriff, der beobachtete war aber nicht groß genug.

Ein Botnet aus IoT-Geräten als Waffe

Für die Angriffe auf KrebsOnSecurity.com und OVH war ein Botnet namens Mirai verantwortlich, dass aus kompromittierten IoT-Geräten besteht.

Dessen Sourcecode wurde am 28. September veröffentlicht. Schon kurz danach entstanden weitere Mirai-Botnets. Für den Angriff auf Dyn sind vermutlich gleich mehrere Mirai-Botnets verantwortlich, gegen Liberia wurde wieder nur ein einzelnes Botnet eingesetzt.

Das IoT ist gefährlich! Und gefährdet!

Es steht also eindeutig fest: Das IoT kann gefährlich werden, wenn auch (zumindest vorerst) anders als oft vermutetet. Und es ist stark gefährdet. Was vor allem daran liegt, dass die Geräte des IoT meist äußerst unsicher sind. Das größte Problem sind zur Zeit feste Zugangsdaten, die sich oft auch nicht ändern lassen. Mirai verbreitet seine Bots über Telnet und nutzt dafür eine Liste fest vorgegebener Benutzername-Passwort-Kombinationen.

Wenn Sie sich für die DDoS-Angriffe und Mirai interessieren, können Sie alles Relevante dazu in meinem ausführlichen Artikel in der Ausgabe 1.17 des Entwickler Magazin lesen, die am 7 Dezember erscheint.

Hier im Blog widme ich mich ab der nächsten Folge der Sicherheit des IoT. Dass das dringend nötig ist hat spätestens Mirai gezeigt. Und das war ja nicht der einzige Angriff auf die Geräte des IoT.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : IoT-Sicherheit: Passwort ändern nicht vergessen!

Vorschau anzeigen
Ein der größten Gefahren im IoT geht von Default-Zugangsdaten aus: Werden die bei der Installation nicht auf individuelle Werte geändert, kann Schadsoftware mit den i.A. bekannten Default-Zugangsdaten auf das IoT-Gerät zugreifen