Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
     
Most Popular News



AdThief: iOS-Malware befällt 75.000 Geräte mit Jailbreak



Neuer „Polizei-Virus“ für Android



Adobe patcht Speicher-Bugs im Flash Player



Yahoo plant End-to-End-Verschlüsselung für E-Mail-User



Еuropäer im Kampf gegen Plünderungen von Bezahldiensten
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Nachrichten

„Operation Ababil“: Ergebnisse

14.02.2013 14:10 MSK   |   Ihr Kommentar

Nach Beendigung der letzten Serie von DDoS-Attacken auf amerikanische Banken hat die islamistische Gruppe, die sich selbst Izz ad-Din al-Qassam Cyber Fighters nennt, nun den Waffenstillstand erklärt.

Die Hacktivisten gaben zu verstehen, dass sie mit den Ergebnissen der Protestaktion zufrieden seien: Der Videoclip „Die Unschuld der Muslime“ – der offizielle Streitapfel – wurde von YouTube entfernt (allerdings nur das Original). Es ist aber durchaus möglich, dass der „Rückzug“ andere Gründe hatte: Nach Angaben der Experten, die die DDoS-Attacken beobachteten und abwehrten, stammte der meiste schädliche Traffic im Rahmen der „Operation Ababil“ nicht von den Computern der Hacktivisten, so wie es üblicherweise der Fall ist, sondern von tausenden infizierten Webservern, auf denen zum größten Teil Joomla installiert war. Die große Leistungsstärke dieser DDoS-Attacken, die bis zu 70-100 Gb/Sek. betrug, das hohe technische Niveau und die sorgfältige Auswahl der wichtigsten Ziele – gut geschützte und in Selbstschutz erfahrene Ressourcen – legte die Vermutung nahe, dass die Aufsehen erregende Crowdsourcing-Aktion der Islamisten lediglich eine weitaus ernsthaftere Demonstration der Stärke verschleiern sollte.

Wie auch immer – die effektiven DDoS-Attacken auf amerikanische Großbanken im September, Dezember und Anfang Januar haben Schwachstellen in der Verteidigung aufgedeckt und erneut an ungelöste Probleme im Bereich der Internet-Sicherheit aufmerksam gemacht ― wie z.B. darauf, dass es im Netz offene Resolver und verwundbare CMS gibt. Wie wir bereits berichteten, empfehlen Experten für den Kampf gegen zielgerichtete und komplexe DDoS-Bedrohungen die Ausstattung mit spezialisierten Technologien, die in der Lage sind, Informationen über die Cyberattacken in Echtzeit zu sammeln. Geschützte Anti-DDoS-Services kommen mit ihren Funktionen zurecht, obgleich einige schon darauf hingewiesen haben, dass für die Abwehr von Attacken der oben beschriebenen Art modernere Technologien notwendig sind als die derzeit praktizierte Filterung nach IP und Umfang des Traffics. Um eine derartige DDoS-Attacke rechtzeitig zu erkennen und adäquat eine Verteidigungslinie aufzubauen, ist ein ununterbrochenes Monitoring des Netzes auf verschiedenen Ebenen notwendig, inklusive Anwendungsebene, und zwar vor Ort, andernfalls könnten die Arbeitsprozesse gestört werden.

Doch noch klagen Experten für den Schutz vor DDoS-Attacken darüber, dass sie ohne operative Daten gegen Angriffe dieser Komplexität und Dauer (die für eine einzelne Attacke im Schnitt 20 Tage betrug) kämpfen müssen. Ungeachtet aller Aufrufe und Bemühungen, einen Informationsaustausch über Cybervorfälle anzuschieben, lassen einflussreiche Business-Strukturen und ihre Internetprovider keine Eile erkennen, detaillierte „Meldungen von der Front“ mit Outsidern zu teilen - und schon gar nicht mit einer breiten Öffentlichkeit. Die einen haben Angst um ihren guten Ruf, den anderen sind durch vertragliche Verpflichtungen die Hände gebunden oder sie fürchten einfach, einen guten Kunden zu verlieren.

Bei einem solchen Informationsdefizit stellen die Ergebnisse der Überwachung von DDoS-Vorfällen in Echtzeit, wie sie der CDN-Provider Incapsula in seinem Blog bereitgestellt hat, einen besonderen Wert dar. Dieser kurze Bericht demonstriert anschaulich, wie sich die Verwundbarkeit einer kleinen Website in eine Amplification-Attacke auf eine Reihe von transatlantischen Services wandeln kann. Anfang Januar entdeckten die Experten von Incapsula eine verdächtige Aktivität auf einer vor kurzem ihrem Webservice angeschlossenen britischen Website. Auf dieser harmlosen und kleinen Ressource ging eine Unmenge von Anfragen mit verschlüsseltem php-Code ein ― ein eindeutiger Versuch, einen Backdoor zu aktivieren und die Website als Bot zu benutzen. Wie sich herausstellte, handelte es sich um Befehle zur Durchführung von http- und UDP-flood gegen amerikanische Banken, die von einem türkischen C&C-Server kamen. Die schädlichen Anfragen wurden blockiert und eine weitere Beobachtung zeigte, dass die Angreifer versuchten, dynamisch php-Code einzuschleusen und die Leistungsstärke des Vermittlungsservers zu nutzen, um den DDoS Traffic durch Wiederholung der Attacken in einem voreingestellten Rhythmus zu verstärken. Nach einiger Zeit bemerkten die Experten, dass die Ziele sich geändert hatten – nun wurden gewisse Handelsservices angegriffen; offensichtlich beobachtete Incapsula die Aktivität eines vermieteten Botnetzes.

Die Experten hatten keine Zweifel, dass der Neuling sich schon mit Backdoor im Gepäck an das Content Delivery Network angeschlossen hatte. Wie sich in der Folge herausstellte, war die Art und Weise, wie die Website gehackt wurde, äußerst trivial: Der Administrator wählte als Passwort … richtig! - admin / admin. Wie Incapsula zu Recht bemerkte, sind es gerade solche schwachen Glieder in der Kette, die die Internet-Sicherheit untergraben, an der wir als Nutzer alle größtes Interesse haben sollten und für die wir alle eine gemeinsame Verantwortung tragen.

Quellen:

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen