Seit Ende April reißt eine Serie von DDoS-Attacken, die vorrangig auf deutsche Webseiten zielen, nicht ab. Hinter den Angriffen auf u.a. Rakuten.de, billiger.de, Hood.de und RedCoon.de steht ein Hacker mit dem Twitter-Namen @ZZb00t. Das LSOC warnt vor den Attacken, die auf die originalen IP-Adressen der Webserver zielen.

Mit der Begründung „So much #insecure #servers out there.“ (Quelle Twitter-Kommunikation 29.04.2017) startet ein Hacker mit dem Pseudonym ZZb00t seit dem 22. April wiederholt DDoS-Attacken gegen Webseiten. Die Mehrheit seiner Opfer sitzt in Deutschland. Auf der Suche nach Schwachstellen in der IT-Infrastruktur hat ZZb00t u.a. schon Rakuten.de, billiger.de, Hood.de, RedCoon.de erfolgreich angegriffen. Obwohl viele der attackierten Unternehmen einen DDoS-Schutz eingekauft haben, stehen sie den Angriffen wehrlos gegenüber. Der Grund dafür ist nach Analysen des Link11 Security Operation Centers (LSOC), dass die Schutzlösung nicht vollständig implementiert und kein Site Shield aufgebaut wurde.

Nach den Analysen des LSOC liegen folgende Informationen über den DDoS-Angreifer vor:

  • Täter: ZZb00t bezeichnet sich in seinem Twitter-Profil @zzb00t als „gray hat“, der früher als IT-Security-Consultant gearbeitet hat. Er nutzt ausschließlich Tweets, um seine Attacken zu kommunizieren und die attackierten Unternehmen zu verspotten: „Did I mention that I hear hardstyle during an attack? Strikes hard as #DDoS“ (Quelle Twitter Kommunikation, 13.05.2017). Die Frage, ob dahinter eine Gruppe oder ein Einzeltäter steckt, hat ZZb00t mit einem Tweet beantwortet: „I’M NOT A GROUP!!! You got pwned by a single person.“ (Quelle Twitter Kommunikation, 13.05.2017)
  • Chronologie: Am 22. April startete ZZb00t auf Twitter die Kommunikation seiner DDoS-Aktivitäten. Diese fällt fast zeitgleich mit den DDoS-Erpressungen von XRM-Squad zusammen. Diese Gruppe hatte vom 19. bis 26. April 2017 ihre Attacken gegen Unternehmen in Deutschland als Pentests deklariert, sie aber nach einer Woche wieder eingestellt. Seit dem ersten Tag und Tweet ist ZZb00t täglich aktiv, kündigt Attacken an, kommentiert die Folgen und verhöhnt seine Opfer.
    Motivation: Finanzielle Interessen scheinen nicht hinter den DDoS-Attacken von ZZb00t zu stehen. Dem LSOC sind keine Informationen zu Schutzgeldforderungen bekannt. ZZb00t bezeichnet sich in seinem Twitter-Profil hingegen als „#vulnerabilities hunter“ und gibt als Grund für sein Handeln wiederholt den schlechten Schutz von Servern an: „So much #insecure #servers out there“ (Quelle Twitter Kommunikation, 29.04.2017).
  • Angriffsziele: Neben den obengeannten zählen auch die folgenden Unternehmen zu den Opfern von ZZb00t: die ITK-Anbieter M-net.de und bplaced.de, die Online-Shops Redcoon, Buyerzon.de, Swarovski.de und Eis.de, der Online-Marktplatz Hood.de, die E-Commerce-Dienstleister Rhiem, DreamRobot und JTL und die E-Sports-Plattform ESL.eu.
    Vorwarnungen: Mit einem Vorlauf von mehreren Stunden kündigt ZZb00t die Attacken in seinen Tweets an: „Stresstest will start on 15/05/2017 15:00 CEST for http://www.redcoon.de. (Quelle Twitter Kommunikation 14.05.2017) und „Congratulations to @RakutenDE_B2B , your server performance test is on the way. Starting at 19:00 CEST on http://www.rakuten.de (Quelle Twitter Kommunikation, 11.05.2017)
  • Angriffsmuster: ZZb00T setzt auf Volumen-, Protokoll- und Applikationsattacken, die wenige Minuten bis hin zu mehreren Stunden und Tagen andauern. Die Schlagkraft der Angriffe ist mit bis zu 20 Gbps nicht außergewöhnlich hoch. Sie reicht aber aus, um Server mit Uplinks von 1 bis 2 Gbps offline zu nehmen.
    Das Besondere an den Attacken von ZZb00T ist, dass sie nicht den Domainnamen angreifen, sondern auf die originale IP-Adresse zielen. Die Informationen, welche IP-Adressen zu einer Domain gehören, lassen sich online und mit wenigen Klicks in Datenbanken abfragen. ZZb00t nutzt gezielt die Schwachstelle vieler IT-Infrastrukturen aus, die den DDoS-Schutz ihrer originalen IP-Adressen vernachlässigen und nicht über ein Site Shield vom direkten Zugriff abschirmen.
  • Gefahreneinschätzung: Die DDoS-bedingten Downtimes der attackierten Unternehmen sprechen eine klare Sprache. ZZb00t ist mit seinen Angriffen sehr erfolgreich. Seine Ankündigungen neuer Attacken sind unbedingt ernst zu nehmen.
  • Handlungsempfehlung: Das LSOC rät allen Unternehmen zu prüfen, ob der vorhandene DDoS-Schutz neben dem Domainnamen auch die Subdomains abdeckt. Zusätzlich sollte die IP-Adresse des Original-Servers nicht direkt aus dem Internet erreichbar sein. Hierzu empfiehlt sich, ein Site Shield zu implementieren.

via: ddos-info.de