DDoS-Angriffe
IoT – die plötzliche Bedrohung?
Mit dem Aufkommen des Internets der Dinge haben DDoS-Angriffe ungeahnte Ausmaße erreicht. Was können Unternehmen dagegen tun und wie sieht eine gute Vorbereitung aus?
2016 wurden IoT-Geräte für einige viel diskutierte DDoS-Angriffe auf Websites und Dienste eingesetzt. Hierzu gehörten unter anderem anhaltende Angriffe mit einem Volumen von 540 Gbps, die sich im August gegen Organisationen richteten, die an einem internationalen Sportereignis in Brasilien beteiligt waren, Angriffe auf den IT-Sicherheitsjournalisten Brian Krebs im September, die es sogar auf 620 Gbps brachten, sowie aufsehenerregende DDoS-Angriffe auf den autoritativen DNS-Provider Dyn im November. Die äußerst effizienten, lang anhaltenden Angriffe trafen die schlecht vorbereiteten Opfer völlig unerwartet. Diese Angriffe wurden mit Hilfe von Botnets ausgeführt, die sich aus IoT-Geräten und PCs zusammensetzten.
In den letzten zwanzig Jahren haben DDoS-Angriffe ständig an Größe, Häufigkeit und Komplexität zugenommen. Inzwischen werden sie von den unterschiedlichsten Angreifern (auch Threat Actors genannt) auf breiter Front als Angriffstechnik genutzt und haben bereits einige der am häufigsten besuchten Websites im Internet lahmgelegt. Der größte in 2016 gemeldete Angriff hatte ein Volumen von 800 Gbps – eine Zunahme von 60 Prozent gegenüber dem Vorjahr. Weitere gemeldete Attacken brachten es auf 600 Gbps, 550 Gbps oder 500 Gbps. DDoS-Angriffe sind längst nicht mehr einfache Floods, sondern hochkomplexe Multivektor-Angriffe, die gleichzeitig gegen die Verbindungsbandbreite, Applikationen, Infrastrukturen und Dienste gerichtet sind. Im laufenden Jahr ist mit einer weiteren Zunahme der Anzahl und des Volumens von DDoS-Angriffen zu rechnen, die sich gegen öffentliche und private Infrastrukturen richten.
DDoS-Angriffe ungeahnter Stärke
Grund dafür ist die wachsende Zahl von IoT-fähigen Geräten, die mit dem Internet verbunden sind. So bestand beispielsweise das Mirai-Botnet zum größten Teil aus internetfähigen digitalen Videorekordern, Überwachungskameras sowie anderen internetfähigen integrierten Geräten und wurde von Angreifern zum Starten der DDoS-Attacken mit schwerwiegenden Folgen genutzt. Mirai dient als Basis für einen mietbaren Booter-/Stresser-Dienst, der es Angreifern ermöglicht, gegen eine entsprechende finanzielle Vergütung (in der Regel in Form von Bitcoin-Zahlungen) DDoS-Angriffe auf Ziele ihrer Wahl zu starten. Obwohl das ursprüngliche Mirai-Botnet noch immer aktiv verwendet wird, wurden mehrere Threat Actors beobachtet, die die Angriffsfunktionalität des ursprünglichen Botnet-Schadcodes angepasst und erweitert haben. Außerdem sind bereits neuartige Mirai-basierte DDoS-Botnets aktiv.
Da die Zahl der ungesicherten IoT-Geräte mit Internetzugang neue Rekordhöhen erreicht, sind Angriffe, die diese Geräte für ihre Zwecke nutzen, inzwischen die neue Norm. Die meisten IoT-Geräte, die in Botnets eingesetzt werden, haben direkten Internetzugang oder erlauben eine statische beziehungsweise uPnP-Port-Weiterleitung über Network Address Translation (NAT). Dies trifft in der Regel auf CPE-Geräte (Customer Premises Equipment) oder Webcams zu, doch es gibt noch Abermillionen Geräte hinter den NAT-Routern, die nicht direkt über das Internet erreicht werden können. Es wäre einfach, den Code so anzupassen damit nach internen IoT-Geräten gesucht wird, wenn sich das manipulierte Gerät bereits hinter dem NAT-Gateway befindet oder im schlimmsten Fall, wenn das NAT-Gateway selbst manipuliert wurde. Dieses Problem könnte sich auch auf SDN-Lösungen (SDN, Software-Defined Networking) erstrecken, bei denen ein zentraler Controller Befehle an die netzwerkfähigen Geräte sendet und deren Verhalten und Aktivitäten steuert. Werden diese Implementierungen nicht ausreichend und sorgfältig abgesichert, könnten sie unter Umständen für riesige Hochleistungsbotnets missbraucht werden.
Diese Art von Diensten lassen sich gewinnbringend vermarkten und tragen zur Entwicklung einer neuen „Bot-Ökonomie“ bei. Botnets sind heute sozusagen Industriekonzerne im Miniformat: sie werden für eine breit gefächerte Mischung aus gewinnorientierten Aktivitäten eingesetzt, die von Spam über Identitätsdiebstahl, Finanzbetrug, Ransomware und Erpressung bis hin zu DDoS-Angriffen reichen. Der Botnet-Operator verwendet gehackte PCs, Server und IoT-Geräte wie Breitbandrouter, um sich ein DDoSaaS-Unternehmen ohne Infrastruktur und Bandbreitenkosten aufzubauen, da der Dienst unbemerkt und illegal die Infrastruktur und Konnektivität anderer nutzt. Hunderte oder sogar Tausende von Angreifern können den Dienst gleichzeitig nutzen, um DDoS-Attacken zu starten, wodurch die Umsätze mit dem Dienst beträchtlich steigen.
- IoT – die plötzliche Bedrohung?
- DDoS-as-a-Service
Lesen Sie mehr zum Thema
