Original-URL des Artikels: https://www.golem.de/news/vdos-betreiber-des-groessten-ddos-anbieters-in-israel-verhaftet-1609-123215.html    Veröffentlicht: 12.09.2016 10:58    Kurz-URL: https://glm.io/123215

Vdos

Betreiber des größten DDoS-Anbieters in Israel verhaftet

Der Hack eines DDoS-Anbieters zeigt: Die Vermietung von Angriffskapazitäten ist ein einträgliches Geschäft. Ironischerweise versuchen die Anbieter, sich hinter dem DDoS-Schutz Cloudflare zu verstecken. Die Betreiber wurden mittlerweile in Israel festgenommen.

Der DDoS-Anbieter Vdos nahm in zwei Jahren offenbar mehr als 600.000 US-Dollar von Kunden ein, wie der Sicherheitsforscher Brian Krebs berichtet. Vdos vermietet gegen Entgelt Angriffskapazitäten für DDoS-Angriffe und gilt als einer der größten Anbieter dieser illegalen Dienstleistung.

Krebs beruft sich in seiner Berichterstattung auf geleakte Dokumente, die ihm von einer Quelle zugesteckt wurden. Die Informationen sollen aus einem Hack von Vdos stammen, Angaben zur Verifikation macht Krebs nicht. Hinter dem Dienst sollen zwei junge Männer aus Israel stehen, einige Komplizen seien aber auch in den USA beheimatet.

Die Webseite Themarker.com [hebräisch] berichtet unterdessen, dass die beiden mutmaßlichen Betreiber der Webseite, jeweils 18 Jahre alt und israelische Staatsbürger, festgenommen wurden, nach einer Zahlung von jeweils 10.000 US-Dollar Kaution jedoch wieder auf freien Fuß gesetzt wurden. Die Männer geben an, nur legale Dienste für Stresstests anzubieten.

Der Dienst wird als Abomodell angeboten, es gibt verschiedene Stufen, je nachdem, wie lange der Angriff dauern soll. Das günstigste Paket kostet rund 20 US-Dollar pro Monat, das teuerste 200. Die Unterlagen sollen zeigen, dass allein zwischen April und Juli 2016 mehr als 277 Millionen Sekunden lang Angriffe durchgeführt wurden. Das entspricht rund 8,81 Jahren an Angriffszeit.

Schritt 1: Hack von PoodleStresser

Krebs' Quelle hat die Informationen nach eigenen Angaben über einen Hack der Infrastruktur erlangt. Zunächst konnte die Quelle über eine Sicherheitslücke Konfigurationsdateien des Dienstes PoodleStresser herunterladen und fand heraus, dass der Dienst die Infrastruktur von Vdos nutzt. Trotz des Namens des Dienstes gibt es keine Hinweise auf einen Zusammenhang mit der Poodle-Sicherheitslücke.

Eine weitere, nicht näher bezeichnete Sicherheitslücke bei Vdos selbst soll dann den Zugriff auf die Dokumente ermöglicht haben. Vdos tarnt seine Infrastruktur durch die Verwendung des Anti-DDoS-Dienstes Cloudflare. Ironisch, aber ein bekanntes Problem. Aber auch die Anonymisierung von IP-Adressen durch Cloudflare ist nicht perfekt, so dass schließlich die Identifikation der Quelle, ein bulgarischer Hoster, möglich wurde.

Support-Tickets

Die geleakte Datenbank zeigt zahlreiche Support-Tickets von Kunden, die gerne Angriffe gegen Ziele in Israel durchführen wollen - was aber nicht gelingt. Offenbar haben die Gründer den gesamten IP-Raum des Landes für Angriffe gesperrt - ob aus patriotischen Gründen oder um der Strafverfolgung zu entgehen, ist nicht bekannt.

Ein lukratives Geschäft - und vermutlich steuerfrei

Die Dokumente zeigen auch, dass es sich durchaus um ein lukratives Geschäftsmodell handelt. Allein über Bitcoin und Paypal nahmen die Kriminellen mindestens 618.000 US-Dollar ein - seit Juli 2014. Kurzzeitig soll die Seite sogar Kreditkarten als Zahlungsmittel akzeptiert haben, die Dokumente lassen aber keine Rückschlüsse auf damit erzielte Umsätze zu. Vdos bietet seine Dienste seit mindestens 2012 an, frühere Zahlungsdaten fanden sich aber offenbar nicht auf dem Server.

Derzeit nimmt der Dienst keine Zahlungen über Paypal mehr entgegen, weil das Unternehmen verschärft gegen solche illegalen Zahlungen vorgeht. Die Betreiber versuchten offenbar, das per Paypal eingenommene Geld zu "waschen", indem zahlreiche kleinere Zahlungen über verschiedene Accounts gesendet wurden.

Bitcoin wird per Proxy abgewickelt

Auch bei der Bitcoin-Infrastruktur versuchen die Kriminellen offenbar, wenig Aufmerksamkeit zu erregen. Ursprünglich wurden alle Zahlungen direkt auf dem Server in Bulgarien registriert. Mittlerweile wird ein Proxy des US-Anbieters Digital Ocean genutzt, der dann Updates an den bulgarischen Server schickt. Zur Abwicklung der Bitcoin-Zahlungen wird den Unterlagen zufolge Coinbase genutzt.

Booter-Services wie Vdos können natürlich auch zu legitimen Zwecken wie Stresstests der eigenen Webseite genutzt werden. Die Mehrheit der Nutzer dürfte die Dienste jedoch für illegale Zwecke nutzen. Auch das Verhalten der Betreiber deutet auf kriminelle Nutzung hin, warum sonst würden sie versuchen, die eigene Infrastruktur zu anonymisieren?

DDoS auch gegen Mittelständler

DDoS-Angriffe haben sich in den vergangenen Jahren zu einem immer größeren Problem für Webseitenbetreiber entwickelt. Auch größere Projekte wie Protonmail oder mittelständische Betriebe werden immer wieder angegriffen und erpresst. Ermittlungen in diesem Umfeld sind auf Grund der Verwendung von Anonymisierungsdiensten oft schwierig durchzuführen.

Die Server von Vdos sind mittlerweile nicht mehr erreichbar. Die US-Sicherheitsfirma hat den Netzwerktraffic der Vdos-Server nach eigenen Angaben per BGP-Hijacking umgeleitet, nachdem das Unternehmen selbst Ziel eines großen DDoS-Angriffs war. Unklar ist, ob er Provider der Vdos-Server selbst Maßnahmen zur Abschaltung ergriffen hat.  (hg)


Verwandte Artikel:
Akamai: Github übersteht bislang stärksten DDoS-Angriff   
(02.03.2018, https://glm.io/133105 )
Fluggastdaten: Regierung dementiert Hackerangriff auf deutsches PNR-System   
(10.03.2018, https://glm.io/133261 )
CDN: Cloudflare bietet lokale TLS-Schlüssel und mehr DDoS-Schutz   
(26.09.2017, https://glm.io/130269 )
Linux und Mac: Tor-Browser-Exploit verrät IP-Adresse einiger Nutzer   
(04.11.2017, https://glm.io/130970 )
ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte   
(09.03.2018, https://glm.io/133258 )

© 1997–2019 Golem.de, https://www.golem.de/