Die Entstehung eines SuperBots – Stehen wir vor einer neuen Ära der Cyberangriffe?

In jüngster Zeit sind riesige Botnetze entstanden, die beispiellose DDoS-Angriffe (Distributed Denial-of-Service) durchführen, wie in diesem Artikel von Ars Technica beschrieben. Bei Link11 haben wir mehrere Angriffe mit dieser Art von Botnetze gesehen und abgewehrt, mit unterschiedlichen Techniken und Vektoren, aber mit dem gemeinsamen Merkmal einer enormen Kapazität und Skalierbarkeit. 

Botnetze und DDoS-Attacken verstehen

Ein Botnet ist ein Netzwerk von kompromittierten Computern, oft als „Zombies“ bezeichnet, die von böswilligen Akteuren kontrolliert werden. Diese Netzwerke werden für verschiedene Cyberangriffe genutzt, darunter auch DDoS-Attacken, bei denen mehrere Systeme ein Ziel mit übermäßigem Datenverkehr überfluten, seine Ressourcen überlasten und es für legitime Nutzer unerreichbar machen. 

Das in dem Ars Technica-Artikel beschriebene Botnet mit dem Namen Eleven11bot verfügt über einige Schlüsselkomponenten, die es ihm ermöglichen, ein beispielloses Datenverkehrsaufkommen zu erzeugen: 

• Größe: Es wird geschätzt, dass Elevenbot aus mehr als 30.000 Hosts besteht (obwohl die Forschung noch im Gange ist, um die Anzahl der Hosts vollständig zu quantifizieren). Auch wenn es schon größere Botnetze gegeben hat, ist dies immer noch eine erstaunliche Zahl. 

• Sicherheitsexperten gehen davon aus, dass es sich bei den meisten kompromittierten Hosts um Sicherheitskameras und Webcams mit niedrigen Sicherheitsstandards und der Fähigkeit, hohe Nutzlasten und Pakete pro Sekunde zu übertragen, handelt. 

• Geografische Verteilung: Das Botnet erstreckt sich über eine große Anzahl von Netzwerken und Ländern, wodurch es seine Angriffsfläche vergrößern und ausdehnen kann, bevor es sich auf Internet-Backbones konzentriert, wodurch es schwieriger wird, jeden einzelnen Bot zu isolieren und zu identifizieren. 

Ergebnisse und Beobachtungen von Link11

Link11 hat einige Angriffe beobachtet, die die gleichen Merkmale aufweisen, nämlich Angriffe auf Spieleplattformen. Einige bemerkenswerte Aspekte der beobachteten Angriffe: 

• Massiver Umfang: Die beobachteten Angriffe erreichten fast 2 Tbit/s und über 200 Millionen Pakete pro Sekunde in der Spitze, was den Trend in der Branche zu immer größeren und häufigeren Angriffen verdeutlicht. 

• Carpet Bombing Profil: Die Angriffe wechselten die Ziele und nutzten zu einem bestimmten Zeitpunkt zufällige UDP-Quell- und Zielports sowie eine Vielzahl von Paketgrößen gegen einen IP-Adressraum der Klasse C (über 1000 Ziel-IP-Adressen), während sie gleichzeitig eine immense Größenordnung erreichten. Dies deutet auf die Raffinesse und die Orchestrierung der Angriffsplattform hin, mit der der Zieldienst/das Zielnetzwerk überwältigt werden sollte. 

• Globale Verteilung: Die globale Verteilung des Botnetzes wurde durch den Angriff auf das Link11-Netzwerk veranschaulicht. Obwohl der Schwerpunkt auf nordamerikanischen und europäischen POPs lag, war auch die Verteilung innerhalb dieser Regionen auffällig; allein innerhalb unserer Frankfurter POPs konnten wir eine signifikante Verteilung zwischen den beiden Rechenzentren feststellen (siehe Grafik unten). Auch unsere asiatischen Knotenpunkte wiesen einen signifikanten Datenverkehr auf, was bei den Terabit-Angriffen, die wir in der Vergangenheit erlebt haben, nicht der Fall war: 

Bemerkenswerte Vorfälle im Zusammenhang mit Botnetzen

In der Vergangenheit waren Botnetze für einige der schwerwiegendsten Cyberangriffe verantwortlich: 

• Mirai-Botnet (2016): Ausnutzung von Schwachstellen in Internet of Things-Geräten (IoT), die zu massiven DDoS-Angriffen führten, die wichtige Websites und Dienste beeinträchtigten.  

• Storm-Botnet: Es bestand aus kompromittierten Windows-Rechnern und war bekannt für seine schnelle Verbreitung und Widerstandsfähigkeit gegen Gegenmaßnahmen.  

• Halloween 2024: Cloudflare meldete einen Angriff mit 5,6 Tbit/s. 

Entstehung des neuen Botnetzes

Das neu identifizierte Botnetz zeichnet sich durch seinen schnellen Aufbau und das Ausmaß seiner DDoS-Angriffe aus. Innerhalb kurzer Zeit hat es eine große Anzahl von Geräten verfügbar gemacht und Angriffe gestartet, die in Größe und Intensität alle bisherigen Rekorde brechen. 

Auswirkungen und Reaktionen

Das Auftauchen eines derart großen Botnetzes unterstreicht die dringende Notwendigkeit robuster Cybersicherheitsmaßnahmen. Organisationen und Einzelpersonen müssen 

• IoT-Geräte absichern: Sicherstellen, dass alle mit dem Internet verbundenen Geräte mit den neuesten Sicherheitspatches aktualisiert und mit starken, eindeutigen Passwörtern konfiguriert sind. 

• Netzwerkverteidigung implementieren: Firewalls, Intrusion-Detection-Systeme und DDoS-Abwehrdienste einsetzen, um sich vor potenziellen Angriffen zu schützen. 

Bleiben Sie auf dem Laufenden: Überwachen Sie regelmäßig Cybersecurity Alerts und Cybersicherheitsberichte, um über neue Bedrohungen auf dem Laufenden zu bleiben. 

Da sich Cyber-Bedrohungen ständig weiterentwickeln, sind proaktive und umfassende Sicherheitsstrategien unerlässlich, um digitale Infrastrukturen vor solchen groß angelegten Angriffen zu schützen. 

Sie haben Fragen zum Thema? Unsere Cyberexperten stehen Ihnen jederzeit zur Verfügung.

Jetzt kontaktieren >>

Share this post