Ausfälle von X: Störungen gehen auf DDoS-Angriff auf ungeschützte Server zurück

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Für die Ausfälle des Kurznachrichtendiensts X am Montag waren DDoS-Angriffe eines Botnets verantwortlich, das sich aus Kameras und Videorekordern zusammensetzt. So beschreibt es unter anderem der unabhängige Sicherheitsforscher Kevin Beaumont gegenüber dem US-Magazin Wired. Dass die keineswegs innovativen Attacken überhaupt so erfolgreich waren, liegt ihm zufolge an unzureichenden Sicherheitsvorkehrungen von X. Einige der Server des Diensts, die auf Anfragen aus dem Internet antworten und damit für DDoS-Angriffe anfällig sind, seien nicht von dem DDoS-Schutz abgedeckt gewesen, den X bei Cloudflare gebucht hat. Die Endpunkte konnten also direkt angegriffen werden. Inzwischen sei das behoben.

Ungenügende Sicherheitsvorkehrungen

X war am Montag infolge der Attacken mehrfach offline gegangen und für die Nutzer und Nutzerinnen nicht erreichbar. Insgesamt haben externe Experten laut Wired fünf verschiedene Angriffswellen beobachtet. Die beobachteten Fehler fielen dabei unterschiedlich aus, teilweise kam überhaupt keine Verbindung mit dem Server zustande, teilweise konnte die Seite von X zumindest geladen werden, es fehlten aber die Inhalte. X-Chef Elon Musk hat von einer massiven Cyberattacke gesprochen, bei der die eingesetzten Ressourcen auf eine große Gruppe oder ein Land deuten würde. Dem widersprechen die Erkenntnisse der externen Beobachter jetzt. Ausschlaggebend für die Tragweite waren demnach mangelnde Vorkehrungen.

Musk hat außerdem behauptet, dass IP-Adressen "aus dem Gebiet der Ukraine" für die Attacke verantwortlich seien. Während die bei einer DDoS-Attacke beobachteten IP-Adressen aber höchstens einen Hinweis darauf geben können, wo die kompromittierten Geräte stehen, die massenhaft auf die angegriffene Seite zuzugreifen, lässt sich darüber nicht auf die Verantwortlichen schließen. Im konkreten Fall gibt es aber sogar Zweifel, dass ukrainische IP-Adressen überhaupt in nennenswerter Menge aufgetaucht sind. Eine anonyme Quelle hat Wired versichert, dass von den 20 aktivsten IP-Adressen der Attacke keine aus der Ukraine stammt.

Ein Experte von Nokia hat auf Mastodon ergänzt, dass die genutzten IP-Adressen aus der ganzen Welt kommen – so wie man es von Botnetzen kenne. Passen würde die Verteilung demnach zu einem ganz jungen namens Eleven11bot. Das wurde laut Jérôme Meyer erst vor wenigen Tagen zum ersten Mal beobachtet und bestehe hauptsächlich aus kompromittierten Webcams und Videorekordern. Innerhalb kürzester Zeit sei es auf etwa 5000 Geräte angewachsen und gehöre damit zu den größten, die in jüngerer Vergangenheit aufgetaucht sind. In der kurzen Zeit steckte es demnach bereits hinter Angriffen auf ganz unterschiedliche Sektoren.

(mho)