DoS-Angriffe nehmen immer weiter zu
Weitere europäische Opfer sind wahrscheinlich betroffen – der vollständige Überblick fehlt noch. Mögliche Fälle gibt es in Polen und Spanien. Im Fall Edinburgh wurde das National Cybersecurity Center eingeschaltet, der defensive Arm des britischen Geheimdienstes GCHQ. Die Häufung dieser Vorfälle zeigt, wie ernst die Bedrohung durch DoS-Attacken geworden ist.
Um den Betrieb bei Archer wiederherzustellen, mussten alle Kunden ihre SSH-Schlüssel und Passwörter erneuern. Ein SSH-Schlüssel ist ein kryptografisches Protokoll, das Verbindungen verschlüsselt und absichert. Die vollständige Rückkehr zum Normalbetrieb zog sich entsprechend hin.
Die Rechenzentren kappten die Kundenzugänge mit dem Hinweis auf Sicherheitsprobleme und notwendige Wartungsarbeiten. Genau darin zeigt sich das Wesen einer DoS-Attacke: Der Dienst wird gezwungen, seine eigentliche Funktion einzustellen oder nur eingeschränkt anzubieten. Berichten zufolge wurden dabei auch Nutzerdaten gestohlen – hauptsächlich Forschungsergebnisse.
Hintergründe der DoS-Attacken
Über genaue Motive und mögliche Zusammenhänge zwischen den Angriffen schweigen sich die Betreiber aus. Der Verdacht steht im Raum, dass es um Daten zu einem möglichen Covid-19-Impfstoff ging. Ob die Angreifer dabei tatsächlich fündig wurden, ist offen. Vereinzelt kursierten Spekulationen, ob konkurrierende Unternehmen oder gar Regierungen hinter den Angriffen stecken könnten.
Bei Attacken auf Energieversorger dürfte das Ziel eine Schwächung der Versorgungssicherheit sein – mit terroristischem oder politisch destabilisierendem Hintergrund.
Mindestens zwei Schäden entstehen in jedem Fall: Datendiebstahl auf der einen Seite – und auf der anderen die betrieblichen Einschränkungen sowie der zeitliche und oft kostspielige Aufwand für die Systemwiederherstellung.
Schutz gegen DoS (sowohl Angriffe als auch Einschränkungen)
Wie sich die Betroffenen besser hätten schützen können, bleibt mangels Details graue Theorie. Häufig öffnen ungepatchte VPNs (Virtual Private Network) das Einfallstor. Hacker erkennen und nutzen bestehende Sicherheitslücken schnell.
Im Fall Jülich war die mutmassliche Ursache eine Backdoor im System – also ein versteckter Direktzugriff auf den Rechner, an den normalen Sicherheitsmechanismen vorbei. Möglich war das entweder über Universal-Passwörter für ein BIOS oder über die Installation fremder Software. Schädliche Software gelangt oft über Trojaner ins System.
Am besten werden solche Lücken intern entdeckt und geschlossen, bevor sie jemand ausnutzt. Alles Wesentliche zu DoS – und zur verwandten Form DDoS sowie verschiedenen Angriffsarten – findest du in diesem Artikel. In der Kategorie Security im Blog bleibst du ausserdem laufend über Betrugsmaschen und Cyberkriminalität informiert.
Weitere Sicherheitslücken
Ein weiterer Schauplatz: die britische Firma Elexon, zuständig für die Ausgleichsmechanismen bei der Stromabnahme im Land. Als Einfallstor identifizierte man dort einen konkreten VPN-Server – den Pulse Secure VPN-Server mit fehlenden Patches.
Auch US-Sicherheitsbehörden bestätigten die Zunahme von Angriffen auf solche VPNs. Besonderes Risiko sehen sie bei Citrix VPN-Anwendungen, wo zuletzt ebenfalls vermehrt DoS-Attacken registriert wurden.