„10 days of rain“: McAfee-Bericht zu DDoS Attacken auf Südkoreanische und US Internetseiten legt Beteiligung Pjöngjangs nahe

Das Computersicherheitsunternehmen McAfee hat die DDoS (Distributed Denial of Service) Attacke, die ab dem 4. Juli 2009 vor allem staatliche Internetseiten in Südkorea und den USA traf, eingehend analysiert und die Auswertung dazu ins Netz gestellt (Hier ist die Zusammenfassung und hier der sehr lesenswerte (auch für Laien wie mich) komplette Bericht). Es konnte nicht abschließend geklärt werden, ob der Angriff von Nordkorea ausging, jedoch legen Art, Aufbau und Ziele der Attacke den Schluss nahe, dass:

This may have been a test of South Korea’s preparedness to mitigate cyberattacks, possibly by North Korea or their sympathizers.

Ungewöhnliche Aspekte des Angriffs

Der Angriff an sich wies einige Eigenschaften auf, die für solche Vorgänge relativ untypisch sind:

  • So wurde das Botnetz (ein Netzwerk aus etwa 150.000 PCs, die von Schadsoftware infiziert und so unter die Kontrolle des Angreifers gebracht wurde) so programmiert, dass sich die Computer nach Ablauf der auf zehn Tage programmierten Kampagne selbst unbrauchbar machten (der Anfang des Codes einiger essentieller Dateien wurde mit Nullen überschrieben). Dies ist relativ ungewöhnlich, da Botnetze meist für weitere Aktionen „aufgehoben“ werden.
  • Auch hatte das Botnetz keine weiteren Funktionen, als den besagten Angriff. Ansonsten werden oft auch andere „Geschäftstätigkeiten“ wie das Versenden von Spam über solche Netzwerke abgewickelt.
  • Weiterhin war die Kontrollstruktur des Netzwerks sehr komplex aufgebaut, um eventuelle Störungen des Angriffs auszuschließen. Sie bestand aus einem Netz (mit mindestens zwei Ebenen) hierarchisch gleichgestellter Server, das geographisch über die ganze Welt verteilt war, den Ausfall einzelner Kontrollserver durch das Einspringen anderer wettmachen konnte und gleichzeitig die Quelle des Angriffs verschleierte. Eine solch komplizierte Architektur ist für einen technisch relativ einfachen und einmaligen Angriff ansonsten unüblich und zeugt von komplexer Planung.
  • Die unterschiedlichen Komponenten der Schadsoftware legen weiterhin den Schluss nahe, dass der Angriff von unterschiedlichen Individuen oder Gruppen vorbereitet wurde, die über den Gesamtplan und vielleicht auch den konkreten Zweck der ihrer Komponenten nicht alle in gleichem Maße Bescheid wussten (darauf deuten einzelne Funktionen hin, die im Gesamtzusammenhang des Angriffs wenig Sinn ergeben).

Indizien, keine Fakten

Diese Besonderheiten führen McAfee zu der Einschätzung, dass es sich bei diesem Angriff um einen Probelauf gehandelt hat. So überprüfte der Angreifer, wie schnell der Angriff bemerkt wurde, welche Gegenmaßnahmen eingeleitet wurden etc. Konkrete Spuren oder Hinweise über die Herkunft existieren kaum (die Schadsoftware enthielt Komponenten in koreanischer Sprache, aber auch Hinweise auf den Unabhängigkeitstag der USA, an dem die „1o days of rain“ begannen. Außerdem war ein Großteil des Botnetzes in Südkorea zu finden), jedoch legt die Frage nach den Motiven und möglichen Zielen Nordkorea als Herkunftsort des Angriffs nahe. Ein ähnlicher Zwischenfall, der am vierten März 2011 begann scheint dieselbe Herkunft zu haben, da Architektur des Kommandonetzes und die Software sehr ähnlich waren, und die Attacke genau 20 Monate später startete. Hier waren fast nur Seiten in Südkorea betroffen, von denen 14 auch schon 2009 attackiert wurden. Eine detaillierte Untersuchung zu diesem Zwischenfall liegt jedoch nicht vor.

Angriffsserver in aller Welt…außer China

Interessant in dem Bericht fand ich noch zwei weitere Aspekte. Einerseits ist die geographische Verteilung der Kommandoserver recht spannend (wobei ich nicht genau weiß, was genau ein solcher Server können muss, um in Frage zu kommen und wie man  den unter Kontrolle bringt). Die waren nämlich hauptsächlich in den USA, Taiwan, Russland, Saudi Arabien und Indien zu finden. Einige waren außerdem auf die Länder Europas und einige weitere Staaten Asiens verteilt. Dass in Südkorea keiner stand ist vermutlich logisch, damit kein schneller Zugriff der südkoreanischen Behörden erfolgen konnte (in anderen Staaten muss das wohl zuerst seinen administrativen Weg gehen), wobei dann seltsam ist, dass es in den USA welche gab. In China gab es auch keinen Server (zählt man Hong Kong nicht dazu), was möglicherweise die Geduld der chinesischen Regierung schonen oder aber der Kontrollinstanz (vielleicht saß die in China) Ruhe verschaffen sollte.

Regierungen, Banken, Börsen, (konservative) Zeitungen als Ziele

Weiterhin finde ich die Liste der Angegriffenen Seiten interessant (aufschlussreich wäre zu viel gesagt). Neben Regierungs- und militärischen Seiten gerieten vor allem „Versorgungsunternehmen“ auf staatlicher Ebene (Post und Bahn) ins Visier. Aber auch private Seiten wurden angegriffen. Einerseits Medien wie die Voice of America (ich weiß, das ist eigentlich nicht privat), die Washington Post und die Chosun Ilbo, die man als konservativ bezeichnen könnte. Andererseits aber auch Finanzinstitutionen. Neben diversen Banken vor allem aus Südkorea waren in den USA mit der New York Stock Exchange und der Nasdaq zwei große Börsen betroffen. Ein weiteres prominentes Opfer war Amazon. Was diese Liste genau bedeutet kann ich natürlich nicht abschätzen, aber es ist doch interessant zu sehen, wer Ziel der Angriffe war.

Eigentlich ging der Artikel hier weiter. Da die folgenden Absätze aber thematisch etwas anders einzuordnen sind und den größeren Rahmen in den Blick  nehmen (Nordkoreas Strategie der asymmetrischen Kriegführung), habe ich das Ding in der Mitte geteilt. Zur Fortsetzung lest einfach hier weiter…

Meinungen, Anregungen, Kritik? Alles gern gesehen!

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s