Abstrict About, Regional Regicator SAARC, A10 Networks
Im Oktober 2016 befahl das Mirai-Botnetz einer Reihe von Geräten wie Routern, Webcams, DVRs, IP-Kameras, Thermostaten, digitalen Videorecordern und anderen mit dem Internet verbundenen Geräten, DDoS-Payloads mit einem Durchsatz von mehr als 1 Tbit/s bereitzustellen. Mithilfe der Botnetze wurden massive DDoS-Angriffe gestartet, um Server, Anwendungen, Dienste und Websites lahmzulegen. Es erscheintMiraikönnte etwas Konkurrenz haben. Und sein Name ist WireX Botnet.
Google hat kürzlich rund 300 Apps aus seinem Play Store entferntnachdem Forscher herausgefunden hatten, dass die fraglichen Apps heimlich Android-Geräte kaperten, um den Datenverkehr für groß angelegte DDoS-Angriffe (Distributed Denial of Service) gegen mehrere Content Delivery Networks (CDNs) und Inhaltsanbieter weiterzuleiten.
Laut einem Forscherteam von Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru und anderen Organisationen ist das WireX-Botnetz schuld.
Akamai-Forscher entdeckten WireX zum ersten Mal, als es zum Angriff auf einen seiner Kunden, ein multinationales Hotelunternehmen, eingesetzt wurde, indem Datenverkehr von Hunderttausenden IP-Adressen gesendet wurde.
„Das WireX-Botnetz besteht hauptsächlich aus Android-Geräten, auf denen schädliche Anwendungen ausgeführt werden, und ist darauf ausgelegt, DDoS-Verkehr zu erzeugen. Das Botnetz wird manchmal mit Lösegeldforderungen an Ziele in Verbindung gebracht“, schrieb Cloudflare in einem Blogbeitrag.
Laut Cloudflare nutzte WireX die gekaperten Geräte, um die volumetrischen DDoS-Angriffe auf Anwendungsebene zu starten. Der von den Angriffsknoten generierte Datenverkehr bestand hauptsächlich aus HTTP-GET-Anfragen, obwohl einige Varianten offenbar in der Lage zu sein schienen, POST-Anfragen auszugeben. Mit anderen Worten: Das Botnetz erzeugt Datenverkehr, der gültigen Anfragen von generischen HTTP-Clients und Webbrowsern ähnelt.
Zu den fraglichen bösartigen Anwendungen gehörten Medien- und Videoplayer, Klingeltöne und andere Tools wie Speichermanager. Laut Gizmodo enthielten die schändlichen Apps versteckte Malware, die ein Android-Gerät nutzen konnte, um an einem DDoS-Angriff teilzunehmen, solange das Gerät eingeschaltet war.
Es ist unklar, wie viele Geräte infiziert waren – ein Forscher sagte gegenüber KrebsOnSecurity, dass WireX mindestens 70.000 Geräte infiziert habe, stellte jedoch fest, dass die Schätzung vorsichtig sei. Man geht davon aus, dass bei den Angriffen Geräte aus mehr als 100 Ländern zum Einsatz kamen.
„Siebzigtausend waren eine sichere Sache, denn dieses Botnetz sorgt dafür, dass, wenn Sie auf der Autobahn fahren und Ihr Telefon damit beschäftigt ist, eine Website anzugreifen, die Möglichkeit besteht, dass Ihr Gerät mit drei, vier oder sogar fünf verschiedenen Internetadressen in den Angriffsprotokollen auftaucht“, sagte Chad Seaman, Senior Engineer bei Akamai, in einem Interview mit KrebsOnSecurity. „Wir sahen Angriffe von infizierten Geräten in über 100 Ländern. Sie kamen von überall her.“
WireX verdeutlicht, ähnlich wie sein Vorgänger Mirai, wie wichtig es ist, Ihr Netzwerk und Ihre Anwendungen vor Angriffen zu schützen. Groß angelegte Angriffe können von überall kommen, sogar von einem Botnetz aus Zehntausenden von Android-Geräten. Da diese Art von Angriffen immer häufiger, raffinierter und umfangreicher wird, müssen Unternehmen Lösungen finden, um sie zu stoppen, bevor sie verheerende Schäden anrichten können.
WireX ist insofern einzigartig, als es eine neue Bedrohung einführt: Bewaffnete Smartphones, die Milliarden von Endpunkten einführen, die anfällig für eine Infektion sind, die schädliche Agenten über ein Mobilfunknetz verbreiten kann.
Traditionell sind Mobilfunk- und Dienstanbieternetzwerke vor Angriffen geschützt, die über das Internet eingehen. Allerdings bleiben viele kritische Komponenten ungeschützt, da davon ausgegangen wird, dass Angriffe am Rande des Internets gestoppt werden. Angriffe wie WireX verändern dieses Paradigma.
„WireX beweist, dass Angriffe auch von innerhalb eines Mobilfunknetzes ausgehen können und dass ein paar tausend infizierte Hosts das Gehirn eines Mobilfunknetzes beeinträchtigen können“, sagte Yasir Liaqatullah, Director of Product Management bei A10. „Diese infizierten Smartphones werden irgendwann beginnen, die kritischen Komponenten von Mobilfunknetzen anzugreifen, und die potenziellen Folgen könnten enorm sein.“
Angriffe wie WireX verstärken die Notwendigkeit für Dienstanbieter, ihre wichtigsten Vermögenswerte an allen Fronten zu schützen – nicht nur vor Angriffen von außen, sondern auch von innen.
Um Angriffe wie WireX zu bekämpfen, benötigen Dienstanbieter und Mobilfunknetzbetreiber eine intelligente, skalierbare Lösungzwischen Smartphones und der Mobilfunknetz-Infrastruktur, sowohl intern als auch extern. Um dieser anspruchsvollen Art von Angriff entgegenzutreten, benötigt eine moderne DDoS-Lösung Intelligenz, um die sich ändernde Natur eines polymorphen Angriffs zu verstehen, der die Möglichkeit bietet, Signaturen und unterschiedliche Header zu ändern, wie sie beispielsweise von WireX gestartet werden.
Die Platzierung eines leistungsstarken, skalierbaren und intelligenten Bedrohungsschutzes im Mobilfunknetz wird Dienstanbieter dabei unterstützen, sich gegen diese Milliarden waffenfähiger Endpunkte zu verteidigen, und sie in die Lage versetzen, Online-Bedrohungen und Angriffsarten mit mehreren Vektoren zu erkennen, aus ihnen zu lernen und, was am wichtigsten ist, sie zu stoppen.
Ein mehrschichtiger Ansatz stellt sicher, dass die gesamte Infrastruktur von Dienstanbietern und Mobilfunkbetreibern – sowohl innen als auch außen – vor Bedrohungen geschützt ist. Darüber hinaus kann eine leistungsstarke DDoS-Lösung vor Multi-Vektor-DDoS-Angriffen im Megabit- bis Terabit-Bereich schützen, wie sie von WireX vorangetrieben werden.
