DDoS-Attacken von Hacktivisten: Zentralisierung und Konsolidierung helfen

Hacktivisten_CPR_Check-Point

Thomas Boele, Regional Director Sales Engineering, CER / DACH bei Check Point Software Technologies

Aktuell lässt sich eine Zunahme des Hacktivismus, d. h. von Hacking-Angriffen im Namen von Ideologien und politischen Zielen feststellen. Sie wollen Aufmerksamkeit erregen und Symbole, Personen und Institutionen stören. Die Websites und verbundenen bürgernahen Services staatlicher Einrichtungen bieten eine großzügige Angriffsfläche. Die meisten dieser Aktivitäten gehen aktuell von den Gruppen NoName057(16) und Anonymous Sudan aus, denen Zehntausende auf Telegram folgen. Mit jedem angeblich erfolgreichen Angriff wächst die Zahl weiter an. In den letzten Wochen und Monaten kam es häufig zu Angriffen mit dem Ziel, das Vertrauen in die jeweiligen Regierungen zu untergraben. Neben staatlichen Organisationen werden jedoch auch Unternehmen ins Visier genommen, darunter Banken oder populäre Services wie ChatGPT. Ähnliche Angriffe erleben wir fast jeden Tag auf der ganzen Welt.

Hacktivistische Gruppen wollen Chaos stiften, einschüchtern und ihre Macht demonstrieren. Und sie wollen auch Schaden anrichten. Wenn eine Website nicht funktioniert, ist das ein Problem, die Anwender können nicht auf Informationen und Dienste zugreifen, die Kosten steigen und die Auswirkungen auf den Ruf der Organisation sind ebenfalls schwerwiegend. Aber in erster Linie geht es den Angreifern einfach um die Aufmerksamkeit der Medien. Ein DDoS-Angriff ist oft erfolgreich, sei es für Minuten oder Stunden, wenn er ausreichend unterstützt wird und das ist genau das, worauf diese Hackergruppen aus sind.

Letztlich gibt es gefährlichere Angriffsformen, die aber viel Zeit und Vorbereitung erfordern und auch teurer sind. Der DDoS-Angriff selbst dient nicht dem Datendiebstahl oder anderen Spionagetätigkeiten, sondern überlastet nur ausgewählte Dienste oder Websites. Gleichzeitig kann er aber auch ein Täuschungsmanöver sein, um von anderen, weitaus schwerwiegenderen Angriffen abzulenken.

Hacktivistengruppen greifen über einschlägig bekannte Dienste im Darknet auf Botnetze zurück, die aus Millionen von Computern und anderen Geräten bestehen. Darüber hinaus haben Gruppen wie NoName057(16) auf ihren Telegram-Konten über bevorstehende Angriffe gepostet und Fans ermutigt, sich den Angriffen anzuschließen und sich ebenfalls an den Operationen zu beteiligen. NoName057(16) hat sogar ein DDoS-Angriffs-Baukasten namens „DdoSia“, das die an Angriffen Interessierten zusammenbringt und die aktivsten Mitwirkenden mit lukrativen finanziellen Prämien belohnt, ins Leben gerufen. Die Zunahme der Angriffe hängt auch mit dem Phänomen der Cyberkriminalität als Dienstleistung zusammen. Die größten Hacktivistengruppen vermieten ihre Botnetze. Anonymous Sudan beispielsweise rühmt sich, dass das InfraShutdown-Botnetz in der Lage ist, die Dienste großer multinationaler Unternehmen lahm zu legen. Außerdem gibt es traditionelle Marketingaktionen, Rabatte und VIP-Dienste. Kürzlich gab es beispielsweise eine Sonderaktion für 500 US-Dollar pro Stunde und die Möglichkeit, das InfraShutdown-Botnet für Angriffe auf Internetanbieter zu nutzen. Ein anderes Botnet, Godzilla, kann wiederum für eine Woche für 500 US-Dollar oder einen Monat für 2.500 US-Dollar gemietet werden. Ähnliche Angriffe mit der Macht großer Gruppen können mithin leider auch von Amateuren ohne technische Kenntnisse durchgeführt werden. In ähnlicher Weise kann praktisch jede andere Bedrohung und Art von Angriff gekauft werden. Und Cyberkriminelle können dann ihre anderen Aktivitäten finanzieren, einschließlich Hacktivisten-Angriffe. Es gibt defacto keine Möglichkeit, eine Hacktivistengruppe daran zu hindern, mit Hilfe eines Botnetzes und einer Schar von Anhängern ihre ganze Kraft auf ein bestimmtes Ziel zu richten.

Fazit

Ganz gleich ob Unternehmen oder Behörde, es ist wichtig, dass sich die zuständigen IT-Sicherheitsverantwortlichen auf die Prävention und den Schutz vor jeder Art von Bedrohung im Bereich der Cybersicherheit konzentrieren. Sie müssen verschiedene Szenarien entwickeln und klare Reaktionspläne für den Fall eines Angriffs vorhalten. Veraltete und nicht aktualisierte IT ist immer ein Problem. Dies gilt insbesondere für kritische Infrastrukturen, aber auch für ausgefeilte Angriffe auf Webservices. Auch veraltete Sicherheitstechnologien können ein Problem darstellen. Zentralisierung und Konsolidierung können Abhilfe schaffen, ebenso wie die Notwendigkeit, Systeme zu segmentieren und zu differenzieren.