Wie jeder, der regelmäßig online spielt, bestätigen kann, kommen DDoS-Angriffe (Dedicated Denial of Service) im Internet erschreckend häufig vor. Mithilfe der gebündelten digitalen Macht einer geografisch verteilten Legion zombifizierter PCs sind Hacker in der Lage, Spieleserver zu überschwemmen und Spieler stunden- oder tagelang daran zu hindern, sich einzuloggen. Das Problem hat sich in den letzten Jahren verschärft, da unternehmungslustige Hacker damit begonnen haben, ihre Botnetze und Spam-Tools in kommerzielle Angebote zu bündeln, sodass jeder gemietete Tom, Dick und Script-Kiddie auf die gleiche Leistung zugreifen kann.
Es gibt ein großes Internet da draußen und schlechte Schauspieler gibt es in Hülle und Fülle. Es gibt schlimmere Dinge als Spammer und Betrüger, die in den Tiefen des Dark Web schwimmen. In seinem neuen Buch Fancy Bear geht auf Phishing: Die dunkle Geschichte des Informationszeitalters, in fünf außergewöhnlichen Hacks, Dr. Scott J Shapiro, Professor für Recht und Philosophie an der Yale Law School, zeichnet die illegale Geschichte des Internets anhand von fünf der größten Angriffe auf die digitale Infrastruktur nach, die jemals aufgezeichnet wurden.
Farrar Straus Giraux
FANCY BEAR GOES PHISHING: Die dunkle Geschichte des Informationszeitalters, in fünf außergewöhnlichen Hacks von Scott J. Shapiro. Herausgegeben von Farrar, Straus und Giroux. Copyright © 2023 von Scott J. Shapiro. Alle Rechte vorbehalten.
Kriminalität als Dienstleistung
Nicht alle Denial-of-Service-Angriffe nutzen Botnetze. Im Jahr 2013 hackte sich die Syrische Elektronische Armee (SEA) – der Online-Propagandaarm des brutalen Bashar al-Assad-Regimes – in Melbourne IT ein, den Registrar, an den der Domainname nytimes.com verkauft wurde Die New York Times. Die SEA hat die DNS-Einträge geändert, sodass nytimes.com stattdessen auf die Website der SEA verwies. Da Melbourne IT die maßgeblichen Aufzeichnungen für die Website der Times enthielt, verbreiteten sich die nicht autorisierten Änderungen schnell auf der ganzen Welt. Wenn Benutzer das Normale eingegeben haben New York Times Nachdem sie den Domainnamen verloren hatten, landeten sie auf der Website einer mörderischen Organisation.
Umgekehrt starten nicht alle Botnetze Denial-of-Service-Angriffe. Botnetze sind schließlich eine Ansammlung vieler gehackter Geräte, die vom Angreifer aus der Ferne gesteuert werden, und diese Bots können für viele Zwecke verwendet werden. Ursprünglich wurden Botnets für Spam genutzt. Die Viagra- und Nigerian Prince-E-Mails, die früher die Posteingänge überfüllten, wurden von Tausenden geografisch verteilten Zombie-Computern gesendet. In diesen Fällen greift der Angreifer auf seine Bots-Armee zurück und befiehlt ihnen, Zehntausende E-Mails pro Tag zu versenden. Im Jahr 2012 beispielsweise verschickte das russische Grum-Botnetz über 18 Milliarden Spam-E-Mails pro Tag von 120.000 infizierten Computern und brachte seinem Botmaster innerhalb von drei Jahren 2,7 Millionen US-Dollar ein. Botnetze sind eine hervorragende Spam-Infrastruktur, da es schwierig ist, sich dagegen zu verteidigen. Netzwerke verwenden in der Regel „Blocklisten“: Listen mit Adressen, die sie nicht hereinlassen. Um ein Botnetz zu blockieren, müsste man jedoch die Adressen von Tausenden geografisch verteilten Servern in die Liste aufnehmen. Das kostet Zeit und Geld.
Da die Malware, die wir bisher gesehen haben – Würmer, Viren, Vorms und Wiruses – nicht zusammenarbeiten konnten, war sie für finanziell motivierte Kriminalität nicht nützlich. Botnet-Malware hingegen liegt daran, dass die von ihr erstellten Botnets kontrollierbar sind. Botmaster sind in der Lage, jedem Bot Befehle zu erteilen und ihm so die Zusammenarbeit zu ermöglichen. Tatsächlich ist Botnet-Malware das Schweizer Taschenmesser der Cyberkriminalität, denn Botmaster können Bots in ihrem Bann anweisen, Malware auf anfälligen Computern einzuschleusen, Phishing-E-Mails zu versenden oder sich an Klickbetrug zu beteiligen, sodass Botnets davon profitieren können, Bots anzuweisen, auf Pay-per-Click-Anzeigen zu klicken . Klickbetrug ist besonders lukrativ, wie Paras Jha später feststellen sollte. Im Jahr 2018 konnte das ZeroAccess-Botnetz durch Klickbetrug 100.000 US-Dollar pro Tag verdienen. Es befehligte eine Million infizierter PCs in 198 Ländern, darunter den Inselstaat Kiribati und das Himalaya-Königreich Bhutan.
Botnetze sind großartige DDoS-Waffen, da sie auf ein Ziel trainiert werden können. Eines Tages im Februar 2000 schlug der Hacker MafiaBoy Fifa.com, Amazon.com, Dell, E*TRADE, eBay, CNN sowie Yahoo!, die damals größte Suchmaschine im Internet, lahm. Er überwältigte diese Webserver, indem er Computer in 48 verschiedenen Universitäten beschlagnahmte und sie zu einem primitiven Botnetz zusammenfügte. Wenn beide gleichzeitig Anfragen an dieselbe IP-Adresse sendeten, führte das kollektive Gewicht der Anfragen zum Absturz der Website.
Nachdem so viele große Websites offline geschaltet wurden, galt MafiaBoy als nationale Sicherheitsbedrohung. Präsident Clinton ordnete eine landesweite Fahndung an, um ihn zu finden. Im April 2000 wurde MafiaBoy verhaftet und angeklagt, und im Januar 2001 bekannte er sich in 58 Fällen von Denial-of-Service-Angriffen schuldig. Die Strafverfolgungsbehörden gaben den richtigen Namen von MafiaBoy nicht bekannt, da diese nationale Sicherheitsbedrohung erst fünfzehn Jahre alt war. MafiaBoy entpuppte sich später als Michael Calce. „Wissen Sie, ich bin ein ziemlich ruhiger, gefasster und cooler Mensch“, berichtete Calce. „Aber wenn der Präsident der Vereinigten Staaten und der Generalstaatsanwalt Sie im Grunde rufen und sagen: ‚Wir werden Sie finden‘.“ . . Zu diesem Zeitpunkt war ich ein wenig besorgt.“ Calce arbeitet jetzt in der Cybersicherheitsbranche als White Hat – ein guter Hacker, im Gegensatz zu einem Black Hat, nachdem er fünf Monate in Jugendstrafanstalt verbüßt hat.
Sowohl MafiaBoy als auch die VDoS-Crew waren halbwüchsige Jungen, die Server zum Absturz brachten. Aber während MafiaBoy es des Spaßes wegen tat, tat es VDoS des Geldes wegen. Tatsächlich waren diese israelischen Teenager Pioniere im Technologiebereich. Sie haben dazu beigetragen, eine neue Form der Cyberkriminalität ins Leben zu rufen: DDoS as a Service. DDoS as a Service ist ein abonnementbasiertes Modell, das Abonnenten Zugriff auf ein Botnetz bietet, um je nach Preis entweder ein tägliches Kontingent oder unbegrenzte Angriffe zu starten. DDoS-Anbieter werden als Booter-Dienste oder Stressor-Dienste bezeichnet. Sie verfügen über benutzerfreundliche Websites, auf denen Kunden den Kontotyp auswählen, Abonnements bezahlen, den Servicestatus überprüfen, Angriffe starten und technischen Support erhalten können.
VDoS bewarb seinen Booter-Dienst in den Hack-Foren, derselben Website, auf der Paras Jha laut Coelho Stunden verbrachte. Auf ihrer Website www.vdos-s.com bot VDoS die folgenden Abonnementdienste an: Bronze- (19,99 $/Monat), Silber- (29,99 $/Monat), Gold- (39,99 $/Monat) und VIP-Konten (199,99 $/Monat). Je höher der Preis, desto mehr Angriffszeit und Volumen. Auf dem Höhepunkt im Jahr 2015 hatte VDoS 1.781 Abonnenten. Die Bande verfügte über eine Kundendienstabteilung und akzeptierte zeitweise PayPal. Von 2014 bis 2016 verdiente VDoS 597.862 US-Dollar und startete in einem Jahr 915.287 DDoS-Angriffe.
VDoS demokratisierte DDoS. Selbst der unerfahrenste Benutzer könnte eines dieser Konten abonnieren, einen Domänennamen eingeben und die Website angreifen. „Das Problem besteht darin, dass diese Art von Feuerkraft buchstäblich jedem zur Verfügung steht, der bereit ist, dreißig Dollar im Monat zu zahlen“, erklärte Allison Nixon, Leiterin der Sicherheitsforschung beim Business-Risk-Intelligence-Unternehmen Flashpoint. „Grundsätzlich bedeutet dies, dass Sie über einen DDoS-Schutz verfügen müssen, um im Internet teilnehmen zu können. Andernfalls kann dich jeder wütende junge Teenager im Handumdrehen offline schalten.“ Auch Booter-Dienste benötigen DDoS-Schutz. VDoS beauftragte Cloudflare, eines der größten DDoS-Abwehrunternehmen der Welt.
DDoS as a Service folgte einem Trend in der Cyberkriminalität, der als „Malware as a Service“ bekannt ist. Wo Benutzer einst Informationen über Software-Schwachstellen gekauft und versucht hatten, selbst herauszufinden, wie sie diese Schwachstellen ausnutzen können, oder schädliche Software gekauft und versucht hatten, herauszufinden, wie man sie installiert und ausführt, konnten sie jetzt einfach für den Einsatz von Malware und Hacking bezahlen Mit einem Klick auf eine Schaltfläche, keine technischen Kenntnisse erforderlich.
Da Kunden, die DDoS als Service nutzen, unerfahren sind, sind sie besonders anfällig für Betrug. Betrüger werben oft in öffentlichen Diskussionsforen für Booter-Dienste und nehmen Bestellungen und Zahlungen entgegen, starten aber nicht die versprochenen Angriffe. Sogar VDoS, das DDoS-Dienste bereitstellte, tat dies weniger aggressiv als angekündigt. Beim Test durch Flashpoint erreichte das VDoS-Botnetz nie das versprochene Maximum von fünfzig Gigabit/Sekunde, sondern reichte stattdessen von sechs bis vierzehn Gigabit/Sekunde.
Die Foren, die Booter-Dienste bewerben, wie es einst Hack-Foren taten, sind für jeden mit einem Standardbrowser und einer Internetverbindung zugänglich. Sie existieren im Clear Web, nicht im sogenannten Dark Web. Um auf Websites im Dark Web zuzugreifen, müssen Sie ein spezielles Netzwerk, bekannt als Tor, verwenden, normalerweise mit einem speziellen Browser, der als Tor-Browser bekannt ist. Wenn ein Benutzer versucht, auf eine Website im Dark Web zuzugreifen, fordert der Tor-Browser Webseiten nicht direkt an. Es wählt drei zufällige Standorte – sogenannte Knoten – aus, über die die Anfrage weitergeleitet wird. Der erste Knoten kennt den ursprünglichen Absender, aber nicht das endgültige Ziel. Der zweite Knoten kennt weder die ursprüngliche Quelle noch das endgültige Ziel – er erkennt nur den ersten Knoten und den dritten Knoten. Der dritte Knoten kennt das endgültige Ziel, aber nicht den ursprünglichen Absender. Auf diese Weise können Sender und Empfänger miteinander kommunizieren, ohne dass einer die Identität des anderen kennt.
Das Dark Web ist doppelt anonym. Niemand außer dem Websitebesitzer kennt seine IP-Adresse. Niemand außer dem Besucher weiß, dass er auf die Website zugreift. Daher wird das Dark Web tendenziell von politischen Dissidenten und Cyberkriminellen genutzt – also von allen, die völlige Anonymität benötigen. Das Surfen im Dark Web ist legal, aber viele seiner Websites bieten Dienste an, deren Nutzung illegal ist. (Unterhaltsame Tatsache: Die US-Marine hat Mitte der 1990er Jahre das Dark Web geschaffen, um ihren Geheimdienstagenten die vertrauliche Kommunikation zu ermöglichen.)
Es könnte überraschend sein, dass DDoS-Anbieter im Clear Web Werbung machen könnten. Schließlich ist der DDoS-Angriff auf eine andere Website überall illegal. In den Vereinigten Staaten verstößt man gegen den Computer Fraud and Abuse Act, wenn man „wissentlich die Übertragung eines Programms, einer Information, eines Codes oder eines Befehls herbeiführt und infolge eines solchen Verhaltens vorsätzlich und ohne Genehmigung Schaden verursacht“, wobei der Schaden Folgendes umfasst: jegliche Beeinträchtigung der . . . Verfügbarkeit von Daten, einem Programm, einem System oder einer Information.“ Um dies zu umgehen, argumentieren Booter-Dienste seit langem, dass sie eine legitime „Stressor“-Funktion ausüben und denjenigen, die Webseiten einrichten, die Möglichkeit bieten, Websites einem Stresstest zu unterziehen. Tatsächlich enthalten Booter-Dienste regelmäßig Nutzungsbedingungen, die Angriffe auf nicht autorisierte Websites verbieten und jegliche Verantwortung für solche Angriffe ausschließen.
Theoretisch spielen Stressorstellen eine wichtige Funktion. Aber nur in der Theorie. Private Chats zwischen VDoS und seinen Kunden zeigten, dass sie ihre eigenen Websites nicht belasteten. Ein Booter-Dienstleister gab gegenüber Forschern der Universität Cambridge zu: „Wir versuchen, diese Dienste an eine legitimere Benutzerbasis zu vermarkten, aber wir wissen, woher das Geld kommt.“
Alle von Engadget empfohlenen Produkte werden von unserem Redaktionsteam unabhängig von unserer Muttergesellschaft ausgewählt. Einige unserer Geschichten enthalten Affiliate-Links. Wenn Sie über einen dieser Links etwas kaufen, erhalten wir möglicherweise eine Affiliate-Provision. Alle Preise gelten zum Zeitpunkt der Veröffentlichung.