Web-Sicherheit

August 25, 2011

Miner Botnetz attackiert Server in Deutschland und Österreich

Filed under: Allgemein — sebastiankuebeck @ 12:17
Tags: , , , ,

Ursprünglich wurde das sogenannte Miner-Botnetz ins Leben gerufen, um Bitcoins zu generieren. Bitcoins sind eine Form von elektronischem Geld. Jede „Münze“ (die Bitcoin) ist dabei eine lange Zahl, die für einen bestimmetn Wert zählt. Jeder kann eine solche Münze erzeugen und damit nicht zu viele Münzen im Umlauf sind und es dadurch zu einer Hyperinfaltion der bereits generierter Bitcoins kommt, ist das Berechnungsverfahren, das diese Zahlen berechnet, äußerst rechenintensiv.

Um die Berechnung von Bitcoins zu beschleunigen programmierten nun einige Hacker eine Schadsoftware, die sich automatisch im Internet verbreitet. Nun können die Hacker die Rechenleistung aller infizierten Hacker nutzen, um neue Bitcoins zu generieren, denn die kombinierten Rechenleistung vieler Tausender infizierter PCs übersteigt die Rechenleistung so mancher Supercomputer.

Grafische Darstellung des Miner-Netzwerks. Quelle: Tillmann Werner

Kürzlich haben die Hacker das Miner-Botnetz um eine neue Funktion erweitert, wie Tillmann Werner von Kaspersky Labs kürzlich berichtete. Demnach begnügen sich die Hacker nicht mehr nur damit, Bitcoins zu berechnen sondern Erweiterten ihre Schadsoftware dahingehend, dass sie DDoS-Angriffe (genau genommen UDP-Flooding-Attacken) gegen bestimmte Server durchführt. Laut heise Security handelt es sich bei den Zielen auch um deutsche und österreichische Server, so ist beispielsweise der Pizzazusteller pizza.de betroffen.

Laut Kaspersky haben einige der Opfer bereits DDoS-Angriffe auf ihre Systeme bestätigt, und das von mehreren Hunderttausend infizierten Computern. Der Pizzazusteller pizza.de registrierte laute eigenen Angaben während eines Angriffs der über 3 Stunden dauerte Zugriffe von rund 50.000 IP-Adressen, die etwa 20-30.000 Anfragen pro Sekunde erzeugten. Was die Angreifer damit bezwecken wollen bleibt bisher im Dunklen. Seltsamerweise wurden die Angriffe seit gestern völlig eingestellt.

In der Vergangenheit haben Hacker versucht, betroffene Firmen zu erpressen, indem sie die Angriffe so lange fortsetzten, bis das betroffene Unternehmen schließlich bezahlte. Möglicherweise scheiterten die Angreifer daran, einen sicheren Weg für die Geldübergabe zu finden.

Update 27.8.2011: Miner Botnetz attackiert wieder

Laut Kaspersky und heise Security ist das Botnetz inzwische wieder aktiv. Die Motivation des Betreibers ist aber nach wie vor unklar.

Die über 100.000 Bot-Netz-Clients rufen dabei massenhaft Seiten ab und versuchen so dafür zu sorgen, dass der Server wegen Überlastung nicht zu erreichen ist. Die Anfragen lassen sich in den Log-Dateien leicht an ihren charakteristischen User-Agent-Strings erkennen. Viele haben etwa als Sprache „ru“ gesetzt.

Tillmann Werner von Kaspersky bestätigt die neue Angriffswelle. Die Liste der Ziele für das HTTP-Flooding ist dabei gleich geblieben; nur ein neues Opfer für UDP-Flooding ist hinzugekommen. Ein Teil der Betroffenen greift jetzt zu harten Maßnahmen, um die Server erreichbar zu halten. So filtern sie etwa auf vorgelagerten Routern Zugriffe von allen IP-Adressen, die nicht aus Deutschland stammen. Das sperrt zwar unter Umständen auch legitime Nutzer aus, hält den Dienst aber für die Mehrzahl der Anwender erreichbar.

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: