Die Botnet-Landschaft als sozialer Graph
Der Blick in den Abgrund
Fortsetzung des Artikels von Teil 2
Drei verschiedene Arten von Angriffsszenarien
1. Botnets zum Mieten: Schwarm in einer Hacker-Cloud (Bild 3)
Es ist auf den ersten Blick ersichtlich, dass die Botnet-Landschaft extrem chaotisch ist. Vergrößert man ein größeres Aktivitätszentrum, offenbart sich eine scheinbar ungeordnete Umwelt – ganz anders, als die zusammenhängenden Cluster aus dem obigen Beispiel.
Dieser einem Pentagramm ähnelnder Fleck ist eigentlich eine visuelle Repräsentation eines riesigen Clusters aus kompromittierten Geräten. Einige Individuen nutzen es zum Angriff auf Ziele, die in keiner Verbindung zu dem Netz stehen.
Die lose Anordnung dieser Geräte zeigt auf, dass sie sich in ihrem Verhalten teilweise unterscheiden. Dieses Phänomen kann auch beobachtet werden, wenn man eingehend die sich überschneidenden Angriffsflüsse betrachtet. Das deutet darauf hin, dass einige Betreiber die Angriffe direkt hinter den Kulissen steuern.
Es könnten entweder Botnets sein, die von verschiedenen „Abonnenten“ gemietet werden können, oder von mehreren Angreifern kompromittierte Geräte. Letzteres war der Fall bei vielen betroffenen Überwachungskameras. Am wahrscheinlichsten ist allerdings eine Mischung aus beidem.
Die meisten DDoS-Landschaften sehen folgendermaßen aus: Ein Botnet mit mehreren Besitzern – eine riesige Hacker-Cloud, die aus gehackten Geräten besteht. Zum einen werden sie von einigen Angreifern ausgenutzt, während sie zum anderen auch unter dem Deckmantel des Stresstests verkauft werden.
Wenn man erneut auf das Originalbild schaut, kann man erkennen, dass die Botnets mit vielen Besitzern das Rückgrat jeglicher DDoS-Aktivität sind (Bild 4).
Über 80 Prozent der Angriffe gegen Unternehmen gehen von gemieteten Botnets ausgehen. Dieses Bild kontextualisiert diese Zahlen und ihre Bedeutung.
2. „DDoS-Profis“ fädeln eine organisierte Offensive ein (Bild 5)
Aber was ist mit den großen Aktivitätszentren außerhalb dieser Hacker-Clouds? Einige könnten vielleicht auch Botnets sein, die vermietet werden und nur bei einem einzigen Angriff im untersuchten Zeitraum genutzt wurden. Andere Botnets sind jedoch Eigentum professioneller Täter. Diese Angreifer sind imstande, ihre eigenen Botnets aufzubauen und instand zuhalten, ohne sie mit anderen zu teilen.
Die Formen, die an Tränen erinnern, sind hochgradig organisierte Botnets, die von ähnlich organisierten Cyberkriminellen genutzt werden. Die sehr homogenen Verhaltensmuster dieser Geräte werden hier durch die Nähe zueinander dargestellt. Daraus kann gefolgert werden, dass der Angriffsfluss von einem einzigen Individuum gesteuert wird.
Diese Menschen leben von DDoS. Und damit sind nicht diese ganzen Lösegeldforderungen über 250 Dollar gemeint. Das sind höchstwahrscheinlich Kriminelle, die damit beauftragt werden, einen Wettbewerber wegen einer Geschäftsfehde auszuschalten. Die Angriffe, auf die Bezug genommen wird, sind komplexe multifaktorielle Kampagnen, die Tage oder Monate dauern können und sich gegen einige der größten Internetseiten richten, die unsere Dienste nutzen.
- Der Blick in den Abgrund
- Genauer hinsehen
- Drei verschiedene Arten von Angriffsszenarien
- Wenn es persönlich wird
Lesen Sie mehr zum Thema
