Zuerst traf es Brian Kreb’s IT-Security Nachrichtenseite KrebsOnSecurity und legte sie über 24 Stunden lang lahm. Zu dem Zeitpunkt glaubten die IT-Sicherheitsexperten noch, dass es der bisher größte DDoS-Angriff gewesen war mit 620 Gb/sec. Allerdings währte der Rekord gar nicht so lange. Es stellte sich heraus, dass es noch am selben Tag einen ähnlichen Angriff auf das französische Netzwerkunternehmen OVH.com gab. Ein ganzes Ensemble von Routern, Überwachungskameras und anderen Geräten des sogenannten Internet Dinge attackierten die OVH-Server mit unglaublichen 1,1 Terabits pro Sekunde.

Der Gründer von OVH, Octave Klaba, meldete die Angriffe auf sein Unternehmen am 19. September. Laut seinen Angaben erreichte der erste Angriff 1,1 Tb/sec, während ein nachfolgender Angriff es noch auf 901 Gb/sec brachte. Dann, am vergangenen Freitag, berichtete er über weitere Angriffe, die alle im fast gleichen Bereich lagen. Klaba bestätigte, dass die DDoS-Angriffe alle von einer großen Sammlung an gehackten, internetverbundenen Kameras und digitalen Videorekordern ausgingen. Da jedes Gerät die Fähigkeit hat, Ziele mit 1 bis 30 Mbps zu bombardieren, schätzte er, dass das gesamte eingesetzte Botnet eine Kapazität von 1,5 Tb/sec hatte.

Später berichtete Klabe, er habe festgestellt, dass weitere 6.800 neue Kameras zu diesem Botnet hinzugefügt worden waren. Damit war sein Unternehmen dann innerhalb von 24 Stunden weiteren Dutzenden von Attacken ausgesetzt. Einige dieser Attacken lagen im Bereich von 100 bis 800 Gb/sec. Ein paar Tage später meldete er, dass insgesamt über 15,000 neue Geräte am Angriff beteiligt gewesen waren.

DDoS Mitigationsexperten haben die Zahlen bisher noch nicht bestätigen können. Dennoch ist seine Berechnung recht glaubwürdig und ist weitgehend dem ähnlich, was Akamai berichtet hatte. Akamai war jenes Unternehmen, das sich bis vor Kurzem mit dem Rekordangriff gegen KrebsOnSecurity herumschlagen musste. Es sei wohl sogar das gleiche Botnet-Netzwerk gewesen, das im Angriff gegen KrebsOnSecurity verwendet worden war. Doch selbst wenn es unterschiedliche Botnets gewesen wären, werden alle diese Angriffe höchstwahrscheinlich einen neuen Präzedenzfall für DDoS-Angriffszenarien setzen.

Martin McKeay, ein Mitglied des Akamai Security Intelligence Teams, sagte hierzu:

„Nachdem wir nun ein 600 Gigabotnet gesehen haben, müssen wir gewahr sein, dass innerhalb der nächsten ein bis zwei Jahre solche Angriffe allgegenwärtig sein werden. Vielleicht nicht bei jedem Angriff, aber wir werden ein Dutzend davon alle Vierteljahr sehen, und ein paar Hundert übers Jahr hinweg. Nun, da die Cyberkriminellen wissen, wie es geht, werden sie in diese Richtung weitermachen und sie werden es schaffen.“

Seit Jahren warnen IT-Sicherheitsexperten, dass die mit dem Internet verbundenen Geräte eine potenzielle Bedrohung darstellen. Anfang 2015 wurde dies schließlich bewiesen: DDoS-Angriffe hatten das Sony PlayStation Network und die Microsoft Xbox Live angegriffen. Die weitestgehend durch Heim-Router angetriebenen Geräte wurden gehackt und zu einem leistungsstarken Botnet verbunden. Im Juni entdeckten Forscher der Sicherheitsfirma Sucuri ein Botnet von 25.000 Fernsehapparaten das einen Juwelierladen angegriffen hatte.

Für die Verbraucher ist es nicht einfach zu wissen, wann ihre Router, DVRs und andere Internet-verbundenen Geräte infiziert worden sind oder wann sie gerade missbraucht werden für solche Angriffe. Die meisten Geräte kommen mit nur einem winzigen Bedienfeld, und eine Antivirussoftware zu verwenden, um sie auf Infektionen zu scannen, ist praktisch ein Ding der Unmöglichkeit. Abhängig von der Art des Angriffs, zu dem sie gezwungen werden, zeigen die Geräte so gut wie keine Anzeichen, dass sie im Hintergrund an einem riesigen lähmenden DDoS-Angriff teilnehmen. Was Nutzer tun können, ist grundsätzlich alle Standardpasswörter zu ändern oder die Geräte nie mit dem Internet zu verbinden. Es gibt keine einfache Gegenwehr gegen diese wachsende Epidemie. Wir sollten uns jedoch dagegen wappnen, dass immer größere Botnet-Schattenarmeen das Internet stören werden.

Akkai McKeay war gar nicht so erstaunt über die kürzlich gemeldeten riesigen Angriffswellen. Seiner Meinung nach ist das erst der Anfang und zukünftig werden wir Spannungsabfälle erleben in Bereichen wie einem Rechenzentrum einer Region, das dann so viel Verkehr hat, dass es diese ganz Region lahmlegen wird.

Auch Brian Honan, SANS IT-Sicherheitsexperte kommentierte diesen Vorfall.

„Wenn wir über IoT-Sicherheit sprechen, liegt der Fokus sehr auf der Sicherheit des Gerätes selbst oder der Privatsphäre seiner Besitzer. Diese Geschichte und der DDoS-Angriff gegen die Website von Brian Krebs sind ein Paradebeispiel dafür, wie die schlechte Sicherheit eines Geräts oder eines Unternehmens die Gesamtsicherheit der Internetgemeinschaft negativ beeinflussen kann.“

Artikel von securityaffairs.co, 27.09.2016: The hosting provider OVH continues to face massive DDoS attacks launched by a botnet composed at least of 150000 IoT devices.
Artikell von itsecuritynews.info, 30.09.2016: DDoS Attack on French Web Host Came From Compromised IoT Devices