DNS-Attacke: Korea verortet Angreifer in Coburg

Die jüngsten Attacke gegen zentrale Server des Domain Name Systems (DNS) wurde über Computer in Südkorea gefahren. Über zahlreiche Rechner massenhaft verschickte Datenpakete hatten zwei Root Server lahm gelegt und die Nameserver von Adressbereichen wie .org und .uk überlastet. Einem Bericht der Korea Times zufolge räumte das koreanische Ministerium für Information und Kommunikation ein, dass 61 Prozent der Datenpakete in der Tat von Rechnern aus Südkorea gekommen seien. Gleichzeitig wies die Behörde den Verdacht entschieden zurück, auch der Hauptschuldige für den Angriff sitze in Korea. Vielmehr gab das Ministerium einen Fingerzeig auf einen Server in Deutschland.

"Wir haben in Erfahrung gebracht, dass ein Host Server im deutschen Coburg eine Vielzahl koreanischer Rechner manipuliert hat, den DOS-Angriff auf die Root Server zu starten," sagte dem Zeiungsbericht zufolge Lee Doo-Won vom Ministerium für Information und Kommunikation. Die koreanischen Rechner hätten lediglich die Rolle von "Zombies" gespielt. Die Besitzer der PCs seien zumeist völlig ahnungslos von den Vorgängen. Das Bundeskriminalamt konnte die Darstellung der koreanischen Behörde gegenüber heise online nicht bestätigen und wollte aus "kriminaltaktischen Gründen" keine weiteren Angaben machen.

Aufgrund seiner hohen Breitbandpenetration ist Korea für Botnetzbetreiber besonders interessant. Rund 14 Millionen der 15,5 Millionen Haushalte hängen an einem breitbandigen, always-on Internetanschluss. Auf diese hohe Pentrationsrate – es ist die höchste weltweit – ist man zwar einerseits stolz. Andererseits bezeichnen Experten sie mit Blick auf Aktivitäten der Botnetz-Betreiber als "zweischneidiges Schwert". Mit der geplanten, weiteren Aufrüstung des Netzes von 2 Mbps auf 100 Mbps in den kommenden Jahren könnte Korea für Hacker und Online-Kriminelle noch attraktiver werden: Nie gab es für Botnetze so viel Bandbreite wie in Korea.

Das neue Hochgeschwindigkeitsnetz werde Hackern ein Maschinengewehr statt einer traditionellen Waffe in die Hand geben, warnte die Korean Information Security Agency (KISA) gegenüber der Korea Times. Ein echtes Problem sei dabei auch die Windows-Monokultur auf den superschnellen, aber wenig gesicherten Rechnern der Bürger. Dass der Angriff im Februar so glimpflich ausging, lag nach Ansicht von Experten daran, dass er nicht besonders raffiniert vorgetragen wurde. Sie warnten aber davor, dass ein vergleichbarer Angriff auf ein weniger redundantes System, etwa ein Firmennetz, durchaus erfolgversprechend sei. Für das Root-Server-System müssten dagegen größere Kaliber aufgefahren werden.

Die Erfolgsaussichten auf der Jagd nach den Botnetzbetreibern und den Angreifern, die sich dieser Netze bedienen, bleiben dabei offensichtlich miserabel. Der Angreifer, der für die letzte große Attacke auf das DNS im Jahr 2002 verantwortlich war, ist bis heute nicht gefunden, sagte kurz nach der Februar-Attacke der ehemalige Berater des US-Ministeriums für Heimatschutz (Department of Homeland Security), Howard Schmidt gegenüber US-Journalisten. Auch zum aktuellen Fall hat das FBI wieder Ermittlungen aufgenommen. In Japan trägt man sich in Regierungskreisen bereits mit dem Gedanken, die Internet-Provider bei der Bekämpfung von Botnetzen mit in die Verantwortung zu nehmen.

Unbeantwortet bleiben nach wie vor Fragen, warum sich die Angreifer abgesehen von den Root Servern vor allem auf TLD Server stürzten, die von Neustars Ultra Services (ehemals UltraDNS) betrieben werden. Neustar selbst verweigerte bislang einen Kommentar. Die gestern angekündigte Entscheidung der BIND-Schmiede ISC, für den F-Root Server ebenfalls auf Ultra Services, beziehungsweise Neustars "DNS Shield" System zu setzen, dürfte Neustar allerdings gerade recht kommen. Die Partnerschaft werde einen hochwirksamen Schutz für bedrohte kritische Infrastrukturen gegen Angriffe wie die jüngste DDoS-Attacke realisieren, schreiben die beiden Unternehmen. Neustar fungiert derzeit Backend-Provider für 20 Top Level TLDs. (Monika Ermert) / (vbr)