DDoS
Foto Evertonpestana, thx! (CC0 1.0)

Enttarnt und verhaftet: Betreiber eines DDoS-Dienstes

Die beiden Betreiber der DDoS Anbieterwebseite vDOS, Itay Huri und Yarden Bidani, hat man Ende vergangener Woche festgenommen.

Die beiden mutmaßlichen Betreiber der DDoS-Anbieter-Webseite vDOS, Itay Huri und Yarden Bidani, jeweils 18 Jahre alt und israelische Staatsbürger, hat man Ende vergangener Woche festgenommen. Die israelischen Behörden wurden bei ihren Ermittlungen von der US-Bundespolizei Federal Bureau of Investigation (FBI) unterstützt.

Betreiber eines DDoS Dienstleisters aufgedeckt

Auch wenn man kein Hacker ist, kann man durchaus eine unliebsame Webseite abschießen, wenn man bereit ist, dafür zu zahlen. Das machen solche Internetdienste möglich, wie sie auf vDOS zu ordern waren. Selbst Serverattacken lassen sich demnach völlig bequem von zu Hause aus kaufen. Einer der größten Onlineanbieter dieser illegalen Dienstleistung war vDOS.

Die Haupteinnahmequelle von vDOS war es, sogenannte Distributed-Denial-of-Service-Attacken (DDoS) für ihre zahlungswillige Kundschaft bereitzustellen. Mehrere Computer greifen bei einer DDoS-Attacke gleichzeitig und im Verbund (Botnetze) eine Webseite oder eine ganze Netzinfrastruktur an. Dies kann sehr schnell zum Ausfall der Server führen. Typische DDoS-Angriffe zielen dabei regelmäßig auf die Überlastung des Access-Link, der Ressourcen der Firewall, der Web- und der Datenbankserver. Eine DDoS-Attacke ist kein Hackerangriff im engeren Sinne, da nicht in ein System eingedrungen wird. Vorraussetzung ist allerdings, dass man Zugriff auf möglichst viele Rechner hat. Anbieter wie vDOS verkaufen zu diesem Zweck solche Zugänge, die sie vorher durch Viren und Trojaner gekapert und zu sogenannten Botnets zusammengeschlossen haben.

Angriff auch über Botnetze

Einige Botnetze haben bereits mehrere zehntausend Computer unter Kontrolle. Die mit Schadsoftware infizierten Computer werden immer wieder zu einem schlagkräftigen Angriff zusammengeschaltet – ohne, dass die legitimen Nutzer dieser Computer dies merken. Wegen der großen Anzahl der eingesetzten Computer ist es für die angegriffene Webseite nahezu unmöglich festzustellen, woher der Angriff kommt. Ebenso unklar bleibt in den meisten Fällen, wer dafür haftbar gemacht werden kann.

Vor ihrer Verhaftung wurde die Webseite vDOS selbst das Ziel eines Hackerangriffes, der DDoS-Service vDOS haben Unbekannte gehackt. Sicherheitsexperten vermuten, dass zwei Israelis mit Unterstützung von Hackern aus den USA hinter den Angriffen stehen. Der Hack dieses DDoS-Anbieters zeigt: Die Vermietung von Angriffskapazitäten ist ein einträgliches Geschäft. Wie verlautete erhielten die Hacker zwischen Juli 2014 und Juli 2016 Zahlungen per Bitcoin und PayPal in Höhe von 618.000 Dollar. Kurzzeitig soll die Seite sogar Kreditkarten als Zahlungsmittel akzeptiert haben, die Dokumente lassen aber keine Rückschlüsse auf damit erzielte Umsätze zu. Vdos bietet seine Dienste seit mindestens 2012 an, frühere Zahlungsdaten fanden sich aber offenbar nicht auf dem Server.

Dem Security-Journalisten Brian Krebs wurden dabei interne Datenbanken von vDoS zugespielt. Krebs‘ Quelle hat die Informationen nach eigenen Angaben über einen Hack der Infrastruktur erlangt. Zunächst konnte die Quelle über eine Sicherheitslücke Konfigurationsdateien des Dienstes PoodleStresser herunterladen und fand heraus, dass der Dienst die Infrastruktur von Vdos nutzt. Trotz des Namens des Dienstes gibt es keine Hinweise auf einen Zusammenhang mit der Poodle-Sicherheitslücke.

Mehrere Sicherheitslücken bei Vdos

Eine weitere, nicht näher bezeichnete Sicherheitslücke bei Vdos selbst soll dann den Zugriff auf die Dokumente ermöglicht haben. Vdos tarnte seine Infrastruktur durch die Verwendung des Anti-DDoS-Dienstes Cloudflare, dass Websitebetreiber eigentlich vor DDoS-Angriffen schützen soll. Aber auch die Anonymisierung von IP-Adressen durch Cloudflare ist nicht perfekt, so dass schließlich die Identifikation der Quelle, ein bulgarischer Hoster, möglich wurde. So entdeckte Brian Krebs vier in Bulgarien gemietete Server. Die geleakte Datenbank ermöglichte auch Einblicke in die Arbeit der Hacker, denn sie zeigt zahlreiche Support-Tickets von Kunden, die gerne Angriffe gegen Ziele in Israel durchführen wollten – was aber nicht gelang. Kunden beschwerten sich, dass israelische Portale nicht angegriffen werden konnten. Offenbar haben die Gründer den gesamten IP-Raum des Landes für Angriffe gesperrt – ob aus patriotischen Gründen oder um der Strafverfolgung zu entgehen, ist jedoch unbekannt.

DDoS Angriffe im Sekundentakt abgerechnet

Brian Krebs schreibt in seinem Blog nun unter Berufung auf die ihm übergebenen internen Datenbanken von vDoS: „Zu sagen, dass vDOS für eine Mehrheit der DDoS-Angriffe im Internet in den vergangenen zwei Jahren verantwortlich war, wäre eine Untertreibung. Die verschiedenen Abonnements des Diensts werden danach abgerechnet, wie viele Sekunden ein Denial-of-Service-Angriff andauert. Alleine in den vier Monaten zwischen April und Juli 2016 war vDOS für eine Angriffszeit von 277 Millionen Sekunden verantwortlich, was ungefähr 8,81 Jahren Angriffstraffic entspricht.“

Krebs vermutet, dass die Betreiber von vDOS sogar für mehrere Jahrzehnte DDoS-Angriffszeit verantwortlich sind. Die Datenbanken lege die Vermutung nahe, dass die Hacker schon seit September 2012 aktiv gewesen seien und erst kürzlich alle Daten aus dem Zeitraum bis März 2016 gelöscht hätten. Eine von Krebs veröffentlichte Log-Datei der ausgeführten Angriffe umfasst über 171.000 verschiedene Aufträge. Auch heise Security stand im Fokus der gekauften Angriffe, das lässt sich eindeutig nachweisen, denn IPs von Heise-Servern tauchen dort insgesamt 38 Mal auf.

Aus den Unterlagen schloss der Journalist auch auf die mutmaßlichen Betreiber von vDOS, zwei junge Israelis. Kurz nach Veröffentlichung seines Blogeintrages wurden sie in Israel festgenommen, berichtete die örtliche Nachrichtenseite „Themarker.com [hebräisch]„.

Fazit

Brian Krebs warnt davor, dass man mit Services wie vDOS „mächtige Cyberwaffen, die man per Klick erhält, in die Hände von Menschen, die sonst gar nicht wüssten, wie sie solche Attacken starten sollten“ brächte. Offiziell bewarb vDOS seine Dienste als legalen „Stresstest„.

Laut weiterführenden Recherchen von Krebs haben die beiden Verdächtigen Ende August eine praktische Abhandlung über DDoS-Angriffe veröffentlicht und das sogar unter Klarnamen und haben sich auch sonst nicht viel Mühe gemacht, ihre Spuren zu verwischen, kommentiert Krebs die Festnahme in einem weiteren Blogeintrag. Gegenüber den Behörden gaben sie bei ihrer Verhaftung an, einen legitimen Stresstest-Dienst zu betreiben. Die Recherchen von Krebs und die Logdaten sprechen da jedoch eine ganz andere Sprache. VDoS wurde vorgeblich als sogenannter Booter-Dienst eingesetzt – also dazu, Webseiten dritter gezielt anzugreifen und lahmzulegen. Sie wussten also ganz genau, was sie tun. Seit den Verhaftungen ist vDoS offline.

Mittlerweile sind die beiden 18-jährigen offenbar wieder entlassen. Sie mussten laut dem Bericht von „The Marker“ 10.000 Dollar Kaution bezahlen. Zudem mussten sie ihre Pässe bei den israelischen Behörden abgeben und stehen unter Hausarrest. Last, but not least dürfen sie kein Internet mehr benutzen.

Tarnkappe.info

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.