DDoS-Botnetz breitet sich aus
Ein unlängst entdecktes Botnetz für DDoS-Angriffe breitet sich weiter aus. Auch Windows-Server sind inzwischen betroffen. Was genau der Zweck der Angriffe ist, bleibt bisher rätselhaft.
In den vergangenen Monaten haben Experten bei Akamai großflächige DDoS-Angriffe registriert, die über Linux-Server
ausgeführt wurden. Zunächst fing es mit Linux-Servern an, aktuell gibt es aber auch Windows-Server, die durch das weiter wachsende DDoS-Botnetz infiziert wurden. Inzwischen wurden Angriffe mit bis zu 200 Gbps festgestellt. Der Mittelwert liegt bei 180 Gbps. Die Angriffe werden offenbar ohne weitere Verstärker ausgeführt, was beeindruckend ist.
Tigersecurity nennt das Netz „Operation Distributed Dragons“.
Anfangs nutzten die Angreifbar Lücken bei Apache Struts, Tomcat und Elastic Search, um hierüber ihren Code auf Linux-Server zu bringen. Über C&C-Server werden die infizierten Geräte dann gesteuert und können verschiedene Angriffsszenarien nutzen, so auch Flooding über DNS oder UCP sowie über ICMP. Infizierte Rechner wurden bereits auch als C&C-Server genutzt, darunter auch ein Server eines Unternehmens, das Hilfe gegen DDoS-Angriffe verkauft, sowie Rechner chinesischer Behörden. Die Mehrzahl der Angriffe betrifft Rechner in Kanada, den Niederlanden und Deutschland. Die Vorgehsensweise der Angreifer deutet auf das Herkunftsland China hin, dies ist aber nicht gesichert.
Die angegriffenen Rechner kommen aus unterschiedlichen Bereichen und Unternehmen unterschiedlicher Branchen. Eine einheitliche Linie lässt sich derzeit noch nicht erkennen.
Sie möchten zukünftig per Newsletter informiert werden? <link aktuelle-meldungen oktober newsletter.html>Hier können Sie sich zu unserem Newsletter anmelden.