Wie sich Kriminelle im eigenen Netzwerk verstecken
Während bisher überwiegend kommerzielle Akteure Botnetze für DDoS-Angriffe nutzten, greifen zunehmend auch staatlich gesponserte Gruppen auf bösartige Proxy-Netze zurück. Die Verteidigung vor solchen Angriffen gestaltet sich schwierig, da die Kriminellen den Ursprung ihrer Attacke verschleiern können.
Seit Jahren schon tarnen Cyberkriminelle ihre DDoS(Distributed-Denial-of-Service)-Angriffe über bösartige Proxy-Netze. Diese setzen sich aus kompromittierten SoHo-Routern (Small Office, Home Office), NAS- (Network Attached Storage) oder IoT-Geräten zusammen, verschleiern den Ursprung der Angriffe und anonymisieren die IP-Adressen der Angreifer.
Obwohl bis jetzt überwiegend kommerzielle Gruppen bösartige Botnetze für ihre DDoS-Angriffe nutzten, verwenden sie zunehmend auch staatlich gesponserte Akteure, wie es in einer Analyse von Cisco Talos heisst. Als aktuelles Beispiel führen die Analysten das von der chinesischen Gruppe "Volt Typhoon" kontrollierte Botnetz an, welches rund 200’00 Verbrauchergeräte (inklusive SoHo-Router und IP-Kameras) verband und für Spionage und Cyberangriffe zum Einsatz kam.
Die Proxy-Netzwerke ermöglichen es laut Holger Unterbrink, Technical Leader bei Cisco Talos, Angreifern Proxy-IP-Adressen zur Tarnung zu nutzen und so aus unverdächtigen Netzwerken zuzuschlagen. Da es sich um Peer-to-Peer-Netze handle, gestalte es sich schwierig, die innere Struktur dieser Botnetze zu ermitteln. Zude ermöglichen die Strukturen, bestimmte Sicherheitsmassnahmen leichter zu umgehen, wi etwa geografische oder IP-basierte Filterung.
Unterbrink betont, dass Cybersecurity-Experten aufgrund der Proxy-Funktion der Botnetze mögliche Attacken mitunter auch aus dem eigenen IP-Heimnetz-Bereich erwarten müssen: "Der Verteidiger im Unternehmen sieht nur einen eher unverdächtigen Datenverkehr aus einem typischen Consumer Segment, beispielsweise einem privaten DSL-Anschluss." Das gestalte die Verteidigung vor solchen Angriffen schwierig.
Statt aus verdächtigen Bereichen, die sich präventiv blockieren lassen, anzugreifen, ermöglichen Botnetze unerwartete Angriffe, vor denen sich Unternehmen nur begrenzt schützen können, so die Cisco Talos-Analysten. Eine mögliche, aber vergleichsweise aufwändige Lösung biete die Beschränkung des Netzwerkzugangs über Managed Device Access.
Pünktlich zum WEF in Davos nehmen Cyberkriminelle wieder Schweizer Websites ins Visier und legen diese mittel DDoS-Angriffen lahm. Erfahren Sie hier mehr.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Wie sich Kriminelle im eigenen Netzwerk verstecken
"GenAI wird nie sicher sein", sagt Microsoft nach Test der eigenen Produkte
Fakeupdates erobert Malware-Thron zum Jahresende zurück
Zahl der Phishing-Websites verdoppelt sich
Schwerter, Sandalen und Songs: Die Musical-Adaption von Gladiator
Mehrere Schweizer Websites unter DDoS-Beschuss
Der Hobbit - Selbsthilfegruppe für Frauenprobleme
Also partnert mit Enginsight
"Harry Potter" in der Billig-Version
