Bot-Netz attackiert Pizza-Bestelldienste
Das so genannte Miner-Botnetz hat nachgeladen: Ein neues Modul legt ganz gezielt bestimmte Web-Seiten lahm – deutsche Pizza-Dienste und Immobilien-Portale.
Das so genannte Miner-Botnetz hat nachgeladen: Zusätzlich zu den Komponenten zur Bitcoin-Erzeugung verfügt es nun über ein Modul, um gezielt Web-Seiten lahmzulegen. Im Visier sind vor allem deutsche Pizza-Dienste und Immobilien-Portale.
Das Bot-Netz hat es in sich. Zunächst kommuniziert es nicht über einen zentralen Server sondern über ein verteiltes Peer-to-Peer-Netz. Primäres Einsatzszenario war zunächst das Erschaffen von Bitcoins, einer Art virtuelle Web-Währung. Doch Kaspersky-Experte Tillmann Werner hat entdeckt, dass die infizierten Rechner kürzlich eine neue Datei namens "ddhttp.exe" nachgeladen haben. Diese Datei entpuppte sich bei näherer Analyse als eine Variante des Bots für HTTP-Flooding-Angriffe, die Web-Server durch massenhafte Abfragen lahmlegen.
Die Liste der Opfer wird von dem Programm regelmäßig aus dem Botnetz bezogen. Wie Tillmann Werner gegenüber heise Security erklärte, beschränken sich die Angriffe auf 31 deutsche und 2 österreichische Sites und da offenbar auch nur auf bestimmte Branchen: Alle Zielsysteme hosten entweder Immobilienportale oder Portale aus der Lebensmittelbranche, etwa Pizza-Bestelldienste.
Nur kurze Zeit später wurde noch ein weiteres Modul für Distributed Denial of Service Angriffe (DDoS) nachgeladen, diesmal für UDP-Flooding-Attacken. Die Opferliste dafür ist kürzer, aber nicht weniger interessant: Sie enthält IP-Adressen von Dienstleistern mit Lösungen zur DDoS-Abwehr. Möglicherweise handelt es sich hier um eine Reaktion der Botnetz-Betreiber auf Gegenmaßnahmen ihrer Opfer, um diese doch noch effektiv zu schädigen.
Einige der Firmen auf der Liste haben Kaspersky gegenüber den DDoS-Angriff bestätigt und zählen mehrere Hunderttausend angreifende Systeme. Eines der bekanntesten Opfer ist das Portal pizza.de. Die Firma registrierte während eines Angriff über 3 Stunden Zugriffe von rund 50.000 IP-Adressen, die etwa 20-30.000 Anfragen pro Sekunde erzeugten.
Die Frage nach der Motivation für die Angriffe ist noch ungeklärt. Glücklicherweise werden seit gestern alle Attacken ausgesetzt. Das Botnetz existiert jedoch unverändert fort, da sich ein Peer-to-Peer-Netz nicht ohne weiteres stilllegen lässt. Im schlimmsten Fall ist nach einem ersten Warnschuss nun mit Angriffen von längerer Dauer zu rechnen. (ju)