Today is Newsday 02/2016 - DDoS-Attacke: Chronologie der Ereignisse

Umfangreiche Maßnahmen ergriffen

In letzter Zeit kommt es immer wieder zu Angriffen gegen Webshops mit dem Ziel, Geld zu erpressen und zwar in einer bislang ungeahnten Heftigkeit und Komplexität. Zwischen dem 04. und dem 09. Februar 2016 sind auch einige unserer Kunden Opfer von gezielt und mutwillig durchgeführten Überlastungen ihres Webshops, sogenannten Distributed-Denial-of-Service (DDoS) Attacken, geworden. Von den Attacken waren nicht nur Apotheken-Webshops unserer Kunden, sondern auch andere Apotheken-Webshops betroffen.

Wann erfolgte die erste Attacke?

Die erste Attacke erfolgte am 04.02.2016 um 18:00 Uhr.

 Um 18:30 Uhr ging der erste Anruf bei uns ein, der die Nicht-Erreichbarkeit eines Webshops meldete. Wie sich herausstellte war eine DDoS-Attacke dafür verantwortlich. Die Attacke dauerte ca. eine Stunde. Danach waren alle Server wieder verfügbar.

Über illegale Botnetze wurde das Network Time Protocol (NTP), über das Systeme im Internet normalerweise ihre System-Zeit gegen die eines verlässlichen Zeit-Servers abgleichen, missbraucht. Dabei wurden die durch das Botnetz mit gefälschten Absender-Angaben erzeugten Datenfluten in hoher Frequenz und von zigtausenden Servern gezielt auf drei Webshops unserer Kunden gerichtet.

Wieviele Attacken erfolgten insgesamt?

Insgesamt fanden vier Attacken statt.

 In der Nacht vom 04. auf den 05.02.2016 erfolgte eine weitere, wesentlich massivere DDoS- Attacke der kriminellen Angreifer. Aufgrund der Heftigkeit und der hohen Bandbreite der erneuten Attacke musste das Rechenzentrum Kamp unsere IT-Infrastruktursysteme zeitweise vom Netz nehmen. Dadurch waren die Apotheken-Webshops unserer Kunden stundenweise nicht erreichbar.

 Es folgten noch zwei weitere Angriffe auf Webshops unserer Kunden am 06. und 07. Februar 2016, die aufgrund ihrer Heftigkeit zu kurzfristigen Ausfällen führten. Da dies jeweils in der Nacht geschah, hielten sich die Auswirkungen in Grenzen. 

 Die Attacken auf die Apotheken-Webshops wurden begleitet durch Erpresser-Schreiben, in denen die Versandapotheken aufgefordert wurden, 1.500 Euro zu zahlen, wenn sie nicht riskieren wollten, dass ihre Webshops durch eine DDoS-Attacke dauerhaft lahmgelegt werden. Wir haben unseren Kunden, sobald wir von den Erpresserschreiben erfahren haben, geraten, keineswegs auf die Erpressung einzugehen und umgehend Anzeige bei der Polizei zu erstatten.

 Information der Kunden

Am 04.02.2016 um 18:52 haben wir erstmals via Facebook über die Probleme der Verfügbarkeit einiger Server informiert. Um 19:20 Uhr konnten wir vermelden, dass alle Server wieder verfügbar waren und – wie es sich zum damaligen Zeitpunkt darstellte – ein DDoS-Angriff erfolgreich abgewehrt werden konnte.

 In den folgenden Tagen haben wir täglich mehrmals unsere Kunden via Facebook über den Stand der Entwicklung informiert.

 Am 08.02.2016 haben wir unsere Kunden zudem noch einmal per E-Mail ausführlich über die DDoS-Angriffe unterrichtet.

 Wer waren die Erpresser

Wer hinter den Attacken steht und wer die Erpresserschreiben an unsere Kunden versendet hat, ist nicht bekannt. Zur Kommunikation verwendeten die Angreifer einen anonymen E-Mail Account. Das Lösegeld forderten sie in Bitcoins.

 Was versteht man unter einer DDoS-Attacke?

Eine DDoS-Attacke (Distributed Denial of Service) ist die gezielte Störung eines Dienstes durch den Angriff von vielen Rechnern. Durch eine Flut von gleichzeitigen Anfragen kann so ein Webserver außer Gefecht gesetzt werden. In unserem Fall sorgte die Flut der Anfragen dafür, dass unsere gesamte Infrastruktur das Volumen nicht mehr bewältigen konnte. Gestartet wurden die Angriffe über ein Botnetz, das sich aus Zehntausenden infizierten Computern, die über Malware ferngesteuert wurden, zusammensetzt.

Wer macht DDoS-Attacken und warum?

In der Regel steckt hinter DDoS-Attacken immer eine hohe kriminelle Energie, um Unternehmen, die auf eine durchgehende Verfügbarkeit ihrer Dienste angewiesen sind, zu erpressen. Dazu bedienen sich die Erpresser sogenannter illegaler Botnetze. Die Netze können bereits für weniger als 50 Euro gemietet werden und stellen 10.000 Rechner und mehr zur Verfügung, die für einen koordinierten Angriff eingesetzt werden können.

 Hätte Mauve sich nicht vorher dagegen schützen können?

Es gibt keine “Wunderwaffe”, die einen automatischen Schutz vor DDoS-Attacken bereitstellt. Zwar gibt es bestimmte Muster und Mechanismen, mit denen solche Angriffe ausgeführt werden, aber eine Attacke ist in aller Regel recht individuell zurechtgeschnitten.

 Installierte Verteidigungslinien lassen sich leider im Normalbetrieb relativ schlecht auf ihre Wirksamkeit prüfen. Verlässliche Ergebnisse über die Wirksamkeit des Schutzes vor DDoS-Attacken liefert erst die Realität, wenn der erste Angriff erfolgt. Leider mussten wir feststellen, dass unser Rechenzentrum und wir der Heftigkeit des Angriffs nicht gewachsen waren.

 Wir haben aus diesen Attacken gelernt und sind jetzt für zukünftige Attacken wesentlich besser gerüstet.  

 Wie verteidigen wir uns künftig?

Bis dato haben wir die unterschiedlichen Services wie Internet und Leitungskapazität von externen Dienstleistern und Service Providern eingekauft. Um uns von diesen externen Dienstleistern weitgehend unabhängig zu machen und die Flexibilität und die Reaktionsgeschwindigkeit bei Angriffen zu erhöhen, werden wir in Zukunft ein eigenes „Autonomes System“ im Netzwerk betreiben. Wir nehmen damit die Vergabe der IP-Adressen und das Peering - die Verlinkung im Netz - selbst in die Hand. 

 Durch die dezentrale Ausrichtung unseres Netzwerks, bei der die verschiedenen Dienste vom Server unabhängig betrieben werden, können wir uns vor Angriffen aus dem Web besser schützen. Denn auf diese Weise ist nicht das gesamte Netzwerk, sondern es sind nur jeweils spezielle Teile betroffen. Ein Totalausfall kann so vermieden werden. Parallel bauen wir intern die notwendigen Resourcen zur Administrierung unseres Netzwerks auf.

 An vorderster Front steht jetzt ein spezialisierter Anbieter mit vorgeschalteten Systemen zum Bandbreitenmanagement, der Angriffe mit einer Heftigkeit von bis zu 400 GB/sec. abwehren kann.

Das Monitoring-Tool Netflow beobachtet künftig den Datenstrom jeder IP-Adresse. Stellt das System einen exorbitanten Anstieg des Traffics einer IP-Adresse fest, wird automatisch im Rechenzentrum ein sogenanntes Remote Trigger Blackhole Filtering in Gang gesetzt. Um eine Distributed Denial of Service (DDoS) Attacke abzuwehren, leitet der Router den betreffenden Datenverkehr mit der IP-Adresse in ein "Schwarzes Loch", wo er wirkungslos verpufft, ohne die Quelle des Angriffs darüber zu informieren, dass die Daten nicht den beabsichtigten Empfänger erreichen. Dazu wird die betreffende IP-Adresse einfach vom Netz genommen. Dauern die Angriffe länger an oder wiederholen sie sich, sind wir jetzt in der Lage, mit „A-Record“ dem DNS-Namen des Shops eine neue IP zu geben, damit der Shop wieder erreichbar ist.

 Über sogenannte Transit-Provider unterhalten wir weitere, redundant geschaltete Verbindungen.

Eine direkte Cross Connection zum nächsten Netzknoten in Düsseldorf dient dazu, die Datenströme innerhalb weniger Millisekunden automatisch auf einen Ersatzweg umlenken zu können.

Waren bei der DDoS-Attacke Kundendaten in Gefahr?

Bei den DDoS-Attacken wurden keine Systeme kompromittiert. Es gingen keinerlei Kundendaten verloren. Das liegt auch an der Art des Angriffs: Bei einer DDoS-Attacke wird die technische Infrastruktur lediglich mit Anfragen so stark überflutet, dass “echte” Nutzer nicht mehr durchkommen. Die Angreifer haben weder Einblick in Daten, noch können sie Daten verändern.

 Wie hoch war der Schaden?

Wie hoch der Schaden für unsere Kunden im Einzelnen ist, können wir nicht sagen. Fest steht, dass mehrere  Kunden zeitweise nicht erreichbar waren und das teilweise sogar mehrfach.

 An unseren Systemen und unserer Infrastruktur ist kein direkter Schaden entstanden. Doch unsere Mitarbeiter haben in den vergangenen Tagen mehr als eine Nachtschicht eingelegt, um unser System und Ihre Shops vor weiteren Angriffen zu schützen. Zudem haben wir umfangreiche Investitionen in Hard- und Software sowie externe Dienste getätigt.

 Wie groß der immaterielle Schaden ist, der durch die DDoS-Attacken erzeugt wurde, können wir derzeit noch nicht absehen.

 Wie geht es jetzt weiter?

Ob die Angriffe jetzt aufhören oder nicht, können wir nicht mit Bestimmtheit sagen. Wir sehen aufgrund der ergriffenen Maßnahmen weiteren Attacken aber gelassen entgegen.

In der Zwischenzeit haben wir erfahren, dass eine Vielzahl von Versandapotheken von denselben Tätern nach demselben Muster angegriffen wurden.

 Wir haben den Fall bei der Polizei angezeigt. Mittlerweile ermittelt die Abteilung Cyber-Kriminalität der Kripo Essen.