Enttarnt und verhaftet: Betreiber eines DDoS-Dienstes

Article by · 14. September 2016 ·

datacenter-286386_960_720

Die beiden mutmaßlichen Betreiber der DDoS-Anbieter-Webseite vDOS, Itay Huri und Yarden Bidani, jeweils 18 Jahre alt und israelische Staatsbürger, wurden Ende vergangener Woche festgenommen. Die israelischen Behörden wurden bei ihren Ermittlungen von der US-Bundespolizei Federal Bureau of Investigation (FBI) unterstützt.

Auch wenn man kein Hacker ist, kann man durchaus eine unliebsame Webseite abschießen, wenn man bereit ist, dafür zu zahlen. Das machen solche Internetdienste möglich, wie sie auf vDOS zu ordern waren. Selbst Serverattacken lassen sich demnach völlig bequem von zu Hause aus kaufen. Einer der größten Onlineanbieter dieser illegalen Dienstleistung war vDOS.

Die Haupteinnahmequelle von vDOS war es, sogenannte Distributed-Denial-of-Service-Attacken (DDoS) für ihre zahlungswillige Kundschaft bereitzustellen. Mehrere Computer greifen bei einer DDoS-Attacke gleichzeitig und im Verbund (Botnetze) eine Webseite oder eine ganze Netzinfrastruktur an. Dies kann sehr schnell zum Ausfall der Server führen.

Typische DDoS-Angriffe zielen dabei regelmäßig auf die Überlastung des Access-Link, der Ressourcen der Firewall, der Web- und der Datenbankserver. Eine DDoS-Attacke ist kein Hackerangriff im engeren Sinne, da nicht in ein System eingedrungen wird. Vorraussetzung ist allerdings, dass man Zugriff auf möglichst viele Rechner hat. Anbieter wie vDOS verkaufen zu diesem Zweck solche Zugänge, die sie vorher durch Viren und Trojaner gekapert und zu sogenannten Botnets zusammengeschlossen haben.

Einige Botnetze haben bereits mehrere zehntausend Computer unter Kontrolle. Die mit Schadsoftware infizierten Computer werden immer wieder zu einem schlagkräftigen Angriff zusammengeschaltet – ohne, dass die legitimen Nutzer dieser Computer dies merken. Wegen der großen Anzahl der eingesetzten Computer ist es für die angegriffene Webseite nahezu unmöglich festzustellen, woher der Angriff kommt. Ebenso unklar bleibt in den meisten Fällen, wer dafür haftbar gemacht werden kann.

Vor ihrer Verhaftung wurde die Webseite vDOS selbst das Ziel eines Hackerangriffes, der DDoS-Service vDOS ist von Unbekannten gehackt worden. Sicherheitsexperten vermuten, dass zwei Israelis mit Unterstützung von Hackern aus den USA hinter den Angriffen stehen. Der Hack dieses DDoS-Anbieters zeigt: Die Vermietung von Angriffskapazitäten ist ein einträgliches Geschäft. Wie verlautete erhielten die Hacker zwischen Juli 2014 und Juli 2016 Zahlungen per Bitcoin und PayPal in Höhe von 618.000 Dollar. Kurzzeitig soll die Seite sogar Kreditkarten als Zahlungsmittel akzeptiert haben, die Dokumente lassen aber keine Rückschlüsse auf damit erzielte Umsätze zu. Vdos bietet seine Dienste seit mindestens 2012 an, frühere Zahlungsdaten fanden sich aber offenbar nicht auf dem Server.

Dem Security-Journalisten Brian Krebs wurden dabei interne Datenbanken von vDoS zugespielt. Krebs’ Quelle hat die Informationen nach eigenen Angaben über einen Hack der Infrastruktur erlangt. Zunächst konnte die Quelle über eine Sicherheitslücke Konfigurationsdateien des Dienstes PoodleStresser herunterladen und fand heraus, dass der Dienst die Infrastruktur von Vdos nutzt. Trotz des Namens des Dienstes gibt es keine Hinweise auf einen Zusammenhang mit der Poodle-Sicherheitslücke.

Eine weitere, nicht näher bezeichnete Sicherheitslücke bei Vdos selbst soll dann den Zugriff auf die Dokumente ermöglicht haben. Vdos tarnte seine Infrastruktur durch die Verwendung des Anti-DDoS-Dienstes Cloudflare, dass Websitebetreiber eigentlich vor DDoS-Angriffen schützen soll. Aber auch die Anonymisierung von IP-Adressen durch Cloudflare ist nicht perfekt, so dass schließlich die Identifikation der Quelle, ein bulgarischer Hoster, möglich wurde. So entdeckte Brian Krebs vier in Bulgarien gemietete Server.

Die geleakte Datenbank ermöglichte auch Einblicke in die Arbeit der Hacker, denn sie zeigt zahlreiche Support-Tickets von Kunden, die gerne Angriffe gegen Ziele in Israel durchführen wollten – was aber nicht gelang. Kunden beschwerten sich, dass israelische Portale nicht angegriffen werden konnten. Offenbar haben die Gründer den gesamten IP-Raum des Landes für Angriffe gesperrt – ob aus patriotischen Gründen oder um der Strafverfolgung zu entgehen, ist jedoch unbekannt.

Brian Krebs schreibt in seinem Blog nun unter Berufung auf die ihm übergebenen internen Datenbanken von vDoS: „Zu sagen, dass vDOS für eine Mehrheit der DDoS-Angriffe im Internet in den vergangenen zwei Jahren verantwortlich war, wäre eine Untertreibung. Die verschiedenen Abonnements des Diensts werden danach abgerechnet, wie viele Sekunden ein Denial-of-Service-Angriff andauert. Alleine in den vier Monaten zwischen April und Juli 2016 war vDOS für eine Angriffszeit von 277 Millionen Sekunden verantwortlich, was ungefähr 8,81 Jahren Angriffstraffic entspricht.“

Brian Krebs vermutet, dass die Betreiber von vDOS sogar für mehrere Jahrzehnte DDoS-Angriffszeit verantwortlich sind. Die Datenbanken lege die Vermutung nahe, dass die Hacker schon seit September 2012 aktiv gewesen seien und erst kürzlich alle Daten aus dem Zeitraum bis März 2016 gelöscht hätten. Eine von Krebs veröffentlichte Log-Datei der ausgeführten Angriffe umfasst über 171.000 verschiedene Aufträge. Auch heise Security stand im Fokus der gekauften Angriffe, das lässt sich eindeutig nachweisen, denn IPs von Heise-Servern tauchen dort insgesamt 38 Mal auf.

Aus den Unterlagen schloss Krebs auch auf die mutmaßlichen Betreiber von vDOS, zwei junge Israelis. Kurz nach Veröffentlichung seines Blogeintrages wurden sie in Israel festgenommen, berichtete die örtliche Nachrichtenseite “Themarker.com [hebräisch] “.

Fazit:

Brian Krebs warnt davor, dass man mit Services wie vDOS “mächtige Cyberwaffen, die man per Klick erhält, in die Hände von Menschen, die sonst gar nicht wüssten, wie sie solche Attacken starten sollten” brächte. Offiziell bewarb vDOS seine Dienste als legalen “Stresstest”.

Laut weiterführenden Recherchen von Krebs haben die beiden Verdächtigen Ende August eine praktische Abhandlung über DDoS-Angriffe veröffentlicht und das sogar unter Klarnamen und haben sich auch sonst nicht viel Mühe gemacht, ihre Spuren zu verwischen, kommentiert Krebs die Festnahme in einem weiteren Blogeintrag. Gegenüber den Behörden gaben sie bei ihrer Verhaftung an, einen legitimen Stresstest-Dienst zu betreiben. Die Recherchen von Krebs und die Logdaten sprechen da jedoch eine ganz andere Sprache. VDoS wurde vorgeblich als sogenannter Booter-Dienst eingesetzt – also dazu, Webseiten dritter gezielt anzugreifen und lahmzulegen. Sie wussten also ganz genau, was sie tun. Seit den Verhaftungen ist vDoS offline.

Mittlerweile sind die beiden 18-jährigen offenbar wieder entlassen. Sie mussten laut dem Bericht von “The Marker” 10.000 Dollar Kaution bezahlen, ihre Pässe bei den israelischen Behörden abgeben und stehen unter Hausarrest, bei dem sie das Internet nicht benutzen dürfen.

Bildquelle: evertonpestana, thx! (CC0 Public Domain)

Mehr zu diesem Thema:

Flattr this!

5 Comments

  • comment-avatar

    blörp

    Tut echt wieder weh diesen Beitrag zu lesen mit deinem Pseudo-Know-How *facepalm*
    Von wegen die hatten Botnets, die hatten einfach ein paar Dedis bei normalen Hostern gekauft und diese zum Stress-Test angeboten. Auf Verlangen der “Angegriffenen” wurden die Webseiten-Urls sogar gesperrt, aber trotzdem wurde vDos natürlich zu 99% für ddos “missbraucht.

    • comment-avatar

      Antonia

      Die Recherchequellen sind manchmal eben auch nicht besonders zielführend, wie man hier wieder sehen kann. Ich danke dir für deine Richtigstellung.

      • comment-avatar

        Coca-Colabiy

        Hatten sie nicht sonst waren die Server viel zu schnell abused worden

        • comment-avatar

          Hihi

          Du Profi ? Warst du jemals auf dieser Seite? Wie oben schon gesagt wurde, hatten die eine Art “Abuse-Forumular”. Wer einen Angriff von deren Server bekommen hat, konnte sich an den Hoster via Abuse wenden. Daraufhin wurde seitens vDos die angegriffene Server IP/URL gesperrt! Und genau das ist der Grund, warum sie für ihren Service normale Dedis nutzen konnten! Bitte ab jetzt alle ahnungslosen raus aus der Kommentarsektion…

      • comment-avatar

        blurp

        Antonia, der Poster blörp formuliert seine berechtigte Kritik über Deine mangelnde Sachkenntnis (die Du übrigens in fast allen Deinen Artikeln zeigst) noch recht freundlich. Die passendere Umschreibung wäre “absoluter Bullshit” in den meisten Fällen.

        Hast Du mal ansatzweise über jene Strategie nachgedacht, die sich im echten Qualitätsjournalismus bewährt hat, nämlich einen Artikel solange zurückzuhalten, bis die Recherche wasserfest ist? Oder mußt Du einfach aus Gründen Deines Egos jeden Tag deinen Nickname in diesem Blog lesen, egal welchen Scheiß Du darin verzapfst? Andererseits, wie der Herr, so das Gscherr. Lars’ Artikel strotzen im Regelfall auch vor Fehlern.


Leave a comment