In unserem aktuellen Cyber-Insight schauen wir uns eine politisch motivierte DDoS-Attacke auf ein Rüstungsunternehmen an. Es war ein Layer-7-Angriff, kein klassischer volumetrischer Flood auf Netzwerkebene, sondern gezielter Druck auf die Applikationsschicht. Jeder Request muss von der WAF bewertet werden – Rate Limiting, Session-Tracking, Fingerprinting. Das kostet Rechenzeit auf der Verteidigungsseite, nicht nur Bandbreite.
73 IPs, drei Millionen Sessions – das ist kein IoT-Botnetz
Klassische volumetrische DDoS-Angriffe setzen auf eine breite Streuung: Tausende kompromittierter Endgeräte – Router, Kameras, NAS-Systeme – senden gleichzeitig Anfragen. Hier war es anders. Die Angriffslast wurde auf eine kleine Zahl von IP-Adressen verteilt, von denen einzelne mit einer enormen Sessionrate arbeiteten. Eine einzige IP-Adresse hat 17 Millionen Requests geliefert. Nur 73 IP-Adressen haben gemeinsam über drei Millionen parallele Sessions geöffnet.
Ein IoT-Gerät hat einfach nicht die nötige CPU-Leistung für solche Lasten. Hier sieht es nach gemieteten Cloud-Ressourcen aus: hohe Rechenleistung, wenige IPs, maximale Request-Rate pro Knoten.
Die ASN-Analyse der angreifenden IP-Adressen hat bestätigt, was wir schon vermutet haben: Ein Großteil des Traffics – über 50 Millionen Requests – lassen sich Cloud-Infrastrukturen zuordnen. Darunter sind bekannte Hyperscaler und große CDN-Anbieter. Das kann bedeuten, dass der Angreifer entweder Cloud-Instanzen kompromittiert oder diese direkt gebucht hat. Vielleicht über anonyme Zahlungswege oder gestohlene Accounts.
Das führt auch zur Frage: Wer hat Zugang zu diesen Ressourcen und wie?
Geopolitischer Kontext: Wer ist dazu in der Lage – und warum?
Der Angriff fand während des aktiven Konflikts zwischen Israel und dem Iran statt. Diese Kombination legt eine politisch motivierte Urheberschaft nahe, auch wenn eine direkte Zuordnung nicht möglich ist.
Was die Analyse jedoch erschwert, ist die Tatsache, dass der iranische Staat während des Konflikts den Internetzugang stark eingeschränkt hat. Das bedeutet: Entweder handelt es sich um außerhalb Irans operierende, staatlich affiliierte Akteure oder um Proxy-Gruppen, die im Auftrag handeln und über entsprechende Infrastrukturzugänge verfügen. Beides setzt eine gewisse organisatorische Reife voraus.
Cloud-Kapazität ist günstig, anonym buchbar und technisch schlagkräftig. Ein vergleichbares IoT-Botnetz aufzubauen, wäre um ein Vielfaches aufwändiger und deutlich leichter zu blockieren. Daher sind verschiedene Szenarien denkbar.
Erfahren Sie mehr über eine einfach zu implementierende und äußerst effektive WAAP-Lösung.
Alles aus einer Hand und auf Wunsch als vollständig verwalteter Service.
Angriffstechnik: Simpel, aber skaliert
Auf den ersten Blick wirkten die User-Agents der angreifenden Clients divers: verschiedene Browser-Strings, unterschiedliche Versionen. Bei näherer Analyse zeigte sich jedoch ein eindeutiges Muster. Es handelte sich um algorithmisch generierte Strings, bei denen lediglich die Versionsnummer des Browser-Identifiers inkrementiert wurde. Es handelt sich also nicht um ein echtes Botnet-Diversity-Profil, sondern um ein einfaches Skript. Das reicht aus, um oberflächliche User-Agent-Filter zu umgehen, hält aber einer tieferen Verhaltensanalyse nicht stand.
Interessant war auch die Dynamik des Angriffsverlaufs. Nach dem initialen Peak mit rund neun Millionen Requests pro Minute flachte das Volumen schrittweise ab. Dabei variierte die Zahl aktiver IP-Adressen und offener Sessions stark, teilweise zwischen über 1.300 und unter 50 innerhalb kurzer Zeitfenster. Dies deutet auf ein aktives Ressourcen-Management des Angreifers hin. Botnet-Nodes wurden zu- und abgeschaltet, möglicherweise, um die Kosten zu steuern oder die Angriffssignatur zu variieren.
Nachdem nach einer Stunde klar war, dass die Zielinfrastruktur standhielt, reduzierte der Angreifer schrittweise die Ressourcen und stellte den Angriff schließlich ein. DDoS ist heute eben auch auf Angreiferseite eine Kosten-Nutzen-Rechnung.
Was bedeutet das für Verteidiger?
Die Attacke veranschaulicht eine strukturelle Verschiebung in der Bedrohungslandschaft. Cloud-Ressourcen demokratisieren nicht nur Innovation, sondern auch Angriffsfähigkeiten. Wer heute über das nötige Budget und Grundwissen verfügt, kann einen Angriff dieser Größenordnung ohne eigene Hardware initiieren.
Fest steht: Ein Angreifer, der über 50 Millionen Requests aus westlichen Cloud-Segmenten orchestrieren kann, verfügt über operative Reife. Die Abwehr solcher Angriffe erfordert mehr als einfaches Rate Limiting. Benötigt werden verhaltensbasierte Analyse, ASN-Reputationsdaten und die Fähigkeit, Sessions auf Layer-7-Ebene zu korrelieren, statt nur einzelne IP-Adressen zu sperren.
Wer DDoS-Schutz nur auf Netzwerkebene denkt, ist auf Angriffe dieser Art nicht vorbereitet. Die Bedrohung hat sich von der Bandbreite zur Applikationslogik und von IoT-Botnetzen zu Cloud-nativen Angriffsinfrastrukturen verlagert. Und die nächste Attacke dieser Klasse kommt nicht aus einem Keller. Sie kommt aus einer „Availability Zone“ in Frankfurt, London oder New York.
Ist Ihre Applikationsebene auf Cyberangriffe dieser Größenordnung vorbereitet? Schauen Sie sich gemeinsam mit einem unserer Experten Ihre kritischen Webservices und Assets an. Kontaktieren Sie uns jederzeit für ein tiefergehendes Gespräch.
Das könnte Ihnen auch gefallen:
