DDoS-Angriffe auf Cloudflare und Bitcoin-Handelsplätze

Im Anschluss an die Einstellung aller Zahlungen bei Mt.Gox tauchen Berichte über DDoS-Angriffe auf andere Bitcoin-Handelsplätze und das CDN-Netzwerk Cloudflare auf.  Diese Angriffe, welche den Bitcoin-Handelsplatz Bitstamp mit Sitz in Slowenien zur Einstellung der Auszahlungen veranlasst haben, folgten auf die „Datenbombe“ mit 400 GB/s, die am Montag auf Cloudflare niederging.  Während sich Ziele und Techniken in jedem Szenario unterscheiden, lassen das ähnliche Vorgehen und das Timing der Ereignisse eine mögliche Verbindung erkennen, die jedoch noch genauer zu untersuchen ist.

Cloudflare-Angriff: Was ist NTP?

Montagabend stieß man bei Cloudflare auf bösartige Anfragen im Umfang von 400 GB/s, was den größten DDoS-Angriff darstellt, den das CDN-Netzwerk jemals erlebt hat.  Bei dem Angriff kam eine Technik namens Network Time Protocol (NTP)-Reflection zum Einsatz, bei welcher der Befehl monlist genutzt wird, der in älteren Versionen von NTP zu finden ist, die nicht auf dem neuesten Stand waren.

NTP läuft auf dem UDP-Port 123 und ist ein Protokoll zur Synchronisierung von Uhren in Computersystemen über paketbasierte Kommunikationsnetze.  Nach seiner Einrichtung denken die meisten Administratoren nicht mehr daran.

Zur Nutzung von monlist fälschen die Angreifer erst einmal ihre IP-Adresse derart, dass sie mit der ihres Opfers übereinstimmt.  Dann senden sie den Befehl monlist an den Server, welcher bei diesem eine Liste von Hosts anfordert, die sich kürzlich mit dem Server verbunden haben.  Diese Liste – die aus bis zu 600 Hosts bestehen kann – wird dann an die IP-Adresse des Opfers gesendet.  Nach mehreren Anläufen ist die Website des Opfers mit Anfragen überlastet, bis sie außer Betrieb geht.

NTP-Reflection ist eine extrem effiziente Methode für einen DDoS-Angriff, da der anfänglichen Anfrage eine riesige Antwortwelle folgt, die sich an jemanden richtet, der dies niemals gewünscht hat.

Angriff auf Bitcoin: Über die Formbarkeit von Bitcoin-Transaktionen

Seit Dienstagabend führt ein bisher unbekannter Angreifer ebenso DDoS-Angriffe gegen Bitcoin-Handelsplätze aus.  Dieser Angreifer nutzt zwar keine NTP-Reflection, sondern macht sich die Formbarkeit von Bitcoin-Transaktionen zu Nutze, ein Problem, über das Mt.Gox am 7. Februar berichtete.  Bei dem Angriff werden im Grunde Bitcoin-Transaktionsplätze mit manipulierten Hashes überlastet, welche die Wallet-Software von Bitcoin-Händlern durcheinander bringen.  Eine betroffene Seite, Bitstamp, hat es Mt.Gox gleichgetan und alle Auszahlungen eingestellt.

Das Bindeglied zwischen diesem DDoS-Angriff und dem Schlag gegen Cloudflare am Montag ist die Größenordnungen.  400 GB/s gefälschte Traffic-Anfragen sind einfach gewaltig; und Bitcoin-Handelsplätze mit Tausenden umgeschriebenen Hashes zu überschwemmen ist auch kein Kleinvieh.    Das Timing der beiden Ereignisse ist ebenfalls ein wichtiger Faktor:

• 7. Februar: Mt.Gox versetzt die Bitcoin-Community in Panik, indem man sämtliche Auszahlungen auf Grund eines Problems einstellt, da seit bereits 3 Jahren in der Community bekannt ist.
• 10. Februar: Eine der bisher größten DDoS-Bomben (400 GB/s) wird auf Cloudflare losgelassen.  Dieser Angriff schließt IP-Adressen des französischen Hosters OVH ein, der einen Angriff mit ca. 350 GB/s zu dieser Zeit verzeichnete; und auch dieser Angriff machte sich ein Problem zu Nutze, das seit über einem Monat bekannt war.
• 11. Februar: Ein weiterer DDoS-Angriff erfolgt auf verschiedene Bitcoin-Handelsplätze, bei der man auf die Formbarkeit von Transaktionen setzt – genau das Problem, das Mt.Gox in seiner Pressemitteilung hinwies.

Wie Sie sich selbst schützen können

Wie dieser Darstellung zu entnehmen ist, gehen zwei Berichte über weithin bekannte Sicherheitslücken zeitlich mit zwei sehr effizienten DDoS-Angriffen einher.  Was lernen wir daraus?  Hacker lesen Berichte über Sicherheitslücken!  Die Lösung?  Sie sollten diese auch lesen!  Sie sollten jedoch auch darauf reagieren, bevor sie ausgenutzt werden.

Im Falle von NTP bestünde diese Reaktion in einer Aktualisierung auf Version 4.2.7, in welcher der Befehl monlist gar nicht mehr enthalten ist.

Was Bitcoin angeht… die richtige Reaktion hängt ganz davon ab, wie viel Vertrauen Sie in die Zukunft dieser Kryptowährung setzen.  DDoS-Angriffe wie am Dienstag werden in der Absicht gestartet, um Neulinge im Handel dazu anzuleiten, sich ganz aus Handelsplätzen zurückzuziehen und so den Wert von Bitcoins fallen zu lassen.  Das heißt, wenn Sie sich zurückziehen, hat das Folgen, und letzten Endes ist das der Grund, warum die Entwicklungen dieser Woche so große Wellen geschlagen haben.

In den nächsten Wochen werden wir die möglichen Verbindungen zwischen diesen beiden DDoS-Angriffen mit großem Interesse verfolgen und gespannt sein, wer oder wie viele Täter dahinter stecken.  Für den Moment sind wir bei Emsisoft für Sie da und halten Sie auf dem Laufenden und diskret im Trockenen bei all dem, was Sie im Netz tun.

NACHTRÄGE:

13. Februar: Cloudflare veröffentlicht einen Blogeintrag mit dem Titel Technical Details Behind a 400Gbps NTP Amplification DDoS Attack.  Demzufolge kamen bei dem DDoS-Angriff am 10. Februar „4.529 NTP-Server in 1.298 verschiedenen Netzwerken“ zum Einsatz.  Eine vollständige Liste der betroffenen Netzwerke finden Sie einem gDoc von Cloudflare hier.

13. Februar: Silk Road 2 wurde gehackt!  Wieder einmal machte man sich die Formbarkeit von Bitcoins zu Nutze und ergaunerte 4474,26 Bitcoins aus dem Anderkonto eines Online-Schwarzmarkts, was einem Wert von 2.747.000 $ entspricht.   Vielleicht hat die Ankündigung von Mt.Gox letzten Endes doch noch etwas Gutes gehabt!