FIOD beschlagnahmte 800 Server eines mutmaßlichen Russland-Hosters

ddos, Pfeile2560×1551 534 KB

Die Steuerfahndung FIOD beschlagnahmt 800 Server und verhaftet zwei Verdächtige. Ermittlungen gegen Hosting-Netzwerk mit Russland-Bezug.

Nehmen wir einmal an, ich hätte von IT-Security nicht besonders viel Ahnung. Laut Wikipedia handelt es sich bei einer DDoS-Attacke um einen verteilten Angriff, bei dem in der Regel kompromittierte Systeme Dritter genutzt werden.

In der Meldung wird jedoch der Eindruck erweckt, die Angriffe seien direkt von einem russischen Provider ausgegangen. Wenn dem so wäre, ließe sich ein solcher Angriff wesentlich leichter abwehren – zum Beispiel durch das gezielte Blockieren dieses einen Anbieters. Auch andere Cyberangriffe, Desinformationskampagnen und hybride Operationen funktionieren schließlich am besten, wenn sie eben nicht direkt auf einen bestimmten Akteur zurückzuführen sind.

Da russische Anbieter häufig im Zusammenhang mit Desinformation oder staatlich gesteuerten Informationsoperationen erwähnt werden, geraten auch andere europäische Provider schnell in den Verdacht, eine gewisse Nähe zu Russland zu haben, selbst wenn dafür keine konkreten Hinweise vorliegen.

Vor diesem Hintergrund kann man die aktuelle Beschlagnahmung durchaus als ein Signal verstehen: Unternehmen, die nicht vollständig oder nicht schnell genug mit den Ermittlungsbehörden kooperieren, müssen künftig wohl eher damit rechnen, dass ihre Infrastruktur vorsorglich sichergestellt wird.

Die Größe ist hier nicht mehr entscheidend; 800 Server gehen schon stark in Richtung eines mittelständischen IT-Unternehmens. Man kann sich somit aufgrund der reinen Betriebsgröße nicht mehr sicher sein, dass die Ordnungsmacht den Laden nicht einfach mal stilllegt.

Aber vielleicht sehe ich das auch zu schwarz und die Niederländer brauchten einfach nur günstige, gebrauchte Hardware, ohne selbst tief in die Tasche greifen zu müssen.

Für solche Angriffe braucht man nicht unbedingt ein riesiges Botnet mit tausenden infizierten Rechnern. Man kann beispielsweise auch dann einen DDoS-Angriff mit Amplification durchführen, wenn dies Netzwerkseitig möglich ist. Dabei wird die IP-Adresse des Ziels gefälscht, sodass das Ziel am Ende die Antwort erhält. Je nach Methode variiert der Verstärkungsfaktor. Ich glaube, bei DNS lag er bei etwa 50x. Das bedeutet, dass man basierend auf den eigenen Ressourcen und entsprechender Vorbereitung dem Ziel indirekt schaden kann, indem man unzählige Anfragen sendet, die eine deutlich größere Antwort zurückgeben (Amplification-Faktor). Vereinfacht ausgedrückt kann man so anstatt eines DoS-Angriffs mit 5 Gbit/s am Ende einen echten DDoS-Angriff mit 50 Gbit/s Impact beim Ziel erzielen, obwohl man nur 5 Gbit/s investiert hat.

An die beiden Vorposter:

Die DDoS-Angriffe bezogen sich auf NoName057(16). Diese Gruppe scheint wohl die Infrastruktur von SI genutzt zu haben, um z.B. Payload auszuliefern und / oder C2-Büchsen betrieben zu haben.
Aber anstatt sich auf den Bezug zu DDoS einzuschießen, solltet ihr mal die Zusammenhänge bei SI ansprechen!
Stark hatte in den letzten vier Jahren schon genügend Anknüpfungspunkte, um im Netz ein Thema draus zu machen…