28.04.2015

Cyberwar - DDoS-Angriffe auf ukrainische und russische Rechenzentren

Die von 8ack bei den Angriffen eingesetzten HoneyBots haben die Angriffe jeweils nur simuliert, aber nicht real durchgeführt; eine Gefahr für Rechenzentren und Internet-Infrastruktur geht von den HoneyBots also nicht aus.

Zusammenfassung

Angreifer waren eher Profis und keine Scriptkiddies
Angreifer hatten Tools zur Verfügung um die Angriffe gut dosiert über längere Zeiträume durchzuführen
Angreifer hatten genügend Ressourcen für einen massiven DDoS-Angriff
Ziel der Angriffe war womöglich, komplette Rechenzentren aus dem Netz zu schießen; dies ist jeweils auch gelungen
Hauptziel war das Rechenzentrum von 0x2A aus Kiew, das in allen Phasen erfolgreich angegriffen wurde
Ob die kurzzeitigen Angriffe gegen russische Rechenzentren zufällig stattfanden oder im Zusammenhang mit den Angriffen gegen ukrainische Rechenzentren zu sehen sind, ist unklar; auf jeden Fall wurden in beiden Fällen die gleichen Methoden benutzt, ein Zusammenhang ist also möglich.

In der ersten Welle vom 19. bis 21.April waren zwei Kiewer Rechenzentren betroffen: HighLoadSystems, wahrscheinlich ein Anti-DDOS-Dienst, der seine Angebote im Stillen anbietet, und 0x2A Datacenter, ein klassisches Online-Rechenzentrum. In der zweiten und dritten Welle dann konzentrierten sich die Angriffe auf 0x2A Datacenter.

8ack hat Kontakt mit 0x2A aufgenommen und folgende Info zu dem Vorfall bekommen:

Hello, today was our Addiction attack power of 100GB / s network 
**. ***. 117.0 / 24 for each of the
addresses including 117.0 and 117.255.

It was _very hard_ because the scale of the attack is almost 
impossible to fight off a few hours, 
our company was simply helplessness.

Angriffe in Wellen

Die erste Welle richtete sich gegen "0x2A" und "HighLoadSystems" und dauerte insgesamt 30 Stunden. In der ersten Phase dieser Welle testeten die Angreifer die Angriffswege, in der zweiten Phase, die insgesamt 16 Stunden dauerte, waren die beiden Rechenzentren komplett unerreichbar. Das Ungewöhnliche an den Attacken: Die Angreifer hatten es nicht auf einzelne Server/Websites abgesehen, sondern mit ihrem Angriff dafür gesorgt, dass alle Server und Dienste in diesen Rechenzentren nicht mehr verfügbar sind.
DDoS-Attacken gegen mehrere Server/IPs eines ISPs oder Hosters sind laut 8ack recht häufig; dass aber alle IPs attackiert werden, selbst solche, die nicht online sind, ist bisher in dieser Art bei den Honeypots von 8ack nicht aufgefallen. Die Angreifer wollten auf jeden Fall sicherstellen, dass das komplette Rechenzentrum down ist. Welches Ziel hinter dieser Methode steht, bleibt unklar; ob das eigentliche Ziel des Angriffs verschleiert werden sollte oder ob die Angreifer es tatsächlich auf die Betreiber des Rechenzentrums abgesehen haben, kann 8ack anhand der vorliegenden Daten nicht sagen. Gegen letztere Sichtweise spricht eventuell, dass verschiedene Rechenzentren sowohl in der Ukraine als auch in Russland angegriffen wurden.

Beginnend mit der 1. und zum Ende der 2. Welle wurde auch ein Rechenzentrum in Russland angegriffen (THEServer.ru / ISPSystem.net) und es gelang den Angreifern auch hier, das jeweilige Rechenzentrum komplett zu überfluten und unerreichbar zu machen. Die Angriffsmethode war die gleiche, nur die Zeiträume waren jeweils kürzer.

Die 2. Welle konzentrierte sich auf ukranischer Seite komplett auf den bereits getroffenen Hoster 0x2A, der diesmal für 14 Stunden angegriffen wurde und in diesem Zeitraum nicht erreichbar war. Auch bei diesem Angriff waren alle Server und IPs von der Attacke betroffen. Im Vergleich zur 1. Welle war dieser Angriff zeitlich kürzer, dafür doppelt so stark. Nach Angabe von 0x2A wurde das Rechenzentrum mit 100 GB/s geflutet und war damit hoffnungslos überlastet.

Auffällig bei der 2. Welle ist ein kurzer aber heftiger Angriff am Anfang, der gegen ein weiteres russisches Rechenzentrum, infobox/datapoint.ru, stattfand und dieses Rechenzentrum für zwei bis drei Stunden traf und komplett unerreichbar machte.

In der 3. und letzten Welle war nur noch 0x2A betroffen, diese Phase dauerte 45 Minuten, traf den Hoster aber nicht weniger schlimm als die vorhergehenden Angriffe.

In allen Phasen konnten auch Angriffe gegen einzelne IPs bei DIAWEST, einem weiteren Kiewer ISP, beobachtet werden. Diese Angriffe waren kurz und heftig, aber nicht gegen das gesamte Rechenzentrum gerichtet, und damit vom Provider auch einfacher zu bekämpfen.

Analyse der Angriffe

Alle Angriffe wurden via DNS Amplification Attack ausgeführt, das Volumen betrug nach Aussage eines von 8ack angeschriebenen Hosters 100 GB/s.

Wenn das Ziel der Angreifer war, die Rechenzentren jeweils komplett unerreichbar zu machen, wurde dieses Ziel erreicht. Dazu wurde ein massiver Angriff gegen alle IPs des betroffenen Rechenzentrum geführt, sodass dem Betreiber keine Chance blieb, den Angriff durch Blackholing abzuwehren. Diese Taktik kann aus unterschiedlicher Motivation seitens der Angreifer gewählt worden sein: Entweder man will einen größtmöglichen Schaden beim betroffenen Rechenzentrum anrichten oder das eigentliche Ziel des Angriffs verschleiern.

Ein weiteres Merkmal, vor allem der beiden längeren Wellen, ist eine Testphase am Anfang, bei der die Angreifer womöglich getestet haben, welche und wieviele Server (Bots) für den DDoS-Angriff zur Verfügung stehen, um dann auf einen Schlag das komplette Rechenzentrum anzugreifen. Der Hauptangriff gegen alle IPs geschah innerhalb von zwei Minuten, um dann für mehrere Stunden bei gleicher Intensität weiterzugehen. Genauso schlagartig, wie der Angriff begann, endete er auch wieder: Innerhalb einer Minute kam er komplett zum Stillstand.

Die Grafik oben zeigt die Analyse für zwei an den Angriffen simuliert teilnehmenden HoneyBots und es ist zu sehen, dass beide HoneyBots während der Hauptphase des Angriffs die gleiche Auslastung zeigen (100.000 Angriffe/h -> knapp 30 Angriffe/Sekunde). Verglichen mit anderen Angriffen, bei denen 8ack teilweise bis zu 2 Mio. Angriffe/Minute gesehen hat, wurde der Angriff je HoneyBot bei allen drei Phasen immer nur im unteren Lastbereich gefahren. Umgerechnet bedeuten die simulierten 30 Angriffe/Sekunde ca 1 MBit/s. Warum die Angreifer die HoneyBots nur mit 1 Mbit/s genutzt haben, auch wenn diese mit 1Gbit/s angebunden sind, ist unklar. Möglich ist, dass sie einer Entdeckung durch die Betreiber der missbrauchten Systeme entgehen wollten, oder aber so viele Systeme zur Verfügung hatten, dass jeder angreifende Server mit geringen Kapazitäten am Angriff teilnehmen konnte. Hochgerechnet hiesse dies: Die Angreifer hatten ca 100.000 Systeme zum Angriff unter ihrer Kontrolle.