© Fotolia/Sophie; ORF.at (Montage), Eine Karte von Südkorea die mit einem Binären Datenstrom überflutet wird

Gestaffelter Netzangriff auf Südkorea

ANALYSE
13.07.2009

Die jüngsten verteilten Attacken auf Südkorea und die USA haben nicht auf möglichst viel finanziellen Schaden abgezielt, sondern waren auf mediale Reichweite in Südkorea ausgerichtet. Angriffstechnik und Timing waren durchdacht, die vergleichsweise kleine Armee angreifender Zombie-PCs wurde von einer ausgetüftelten Infrastruktur gesteuert.

Die DDoS-Attacken auf die Infrastruktur Südkoreas sind offenbar vorüber, eine für Freitagabend befürchtete vierte Angriffswelle blieb aus.

Vergessen wird man die Angriffe in Seoul so schnell nicht, denn der dort angerichtete volkswirtschaftliche Schaden ist beträchtlich. Ein verhältnismäßig kleines Bot-Net aus höchstens 50.000 gekaperten und ferngesteuerten Rechnern ahnungsloser Besitzer zwang mit drei Angriffswellen das gesamte Online-Banking-System des Landes tagelang in die Knie.

DDoS-Angriffe haben mit Hacking nichts zu tun, denn wie der Name "Distributed Denial of Service Attacks" sagt, geht es alleine darum, die Ziel-Webserver durch rasend schnell wiederholte Anfragesequenzen von Tausenden PCs lahmzulegen.

Ziel: Bankensektor

Die zweite und die dritte Welle von Dienstag bis Donnerstag zielten auf den koreanischen Bankensektor, der pro Tag Online-Transaktionen von umgerechnet knapp unter vier Milliarden Euro umsetzt. Das Land verfügt nicht nur über eine der am besten ausgebauten Breitband-Infrastrukturen, auch bei der Zahl der Online-Banktransaktionen liegt man weltweit an der Spitze.

Neben der Kookmin Bank, dem größten Player, wurden auch die Online-Services anderer Geldinstitute tagelang schwer beeinträchtigt und zeitweise lahmgelegt. Weil die Überzahl der beteiligten Zombie-Rechner physisch in Korea stand, war der Internet-Verkehr zwischen Südkorea und den ebenfalls angegriffenen USA tagelang beeinträchtigt.

Die Zeichen nicht erkannt

Nun stehen die für die Netzwerksicherheit Verantwortlichen im Zentrum der Kritik in Seoul. Als die Angriffe auf US-Websites und solche in Südkorea am 4. Juli, dem Unabhängigkeitstag der USA, begonnen hatten, schlugen weder die Korea Communications Commission (KCC) noch die Korea Information Security Agency (KISA) Alarm.

Auch der für den öffentlichen Teil des Internets zuständige Geheimdienst National Intelligence Service (NIS) sah dafür keinen Grund. Und das, obwohl man schon am vergangenen Wochenende wusste, dass von den etwa 20.000 die USA angreifenden Rechnern alleine 12.000 physisch in Südkorea angesiedelt waren.

Feuerwerke aus Pyöngyang

Sowohl in den USA wie auch in Südkorea wurde die erste Angriffswelle erst einmal unter den Teppich gekehrt. Anscheinend ging man davon aus, dass hinter den Attacken auf jeden Fall Nordkorea stecken würde.

Schließlich waren am selben 4. Juli dort gleich sieben Scud-Raketen zu "Testzwecken" abgeschossen worden, genau ein Jahr davor hatte Pyöngyang ein ähnliches Feuerwerk zum "Independence Day" der USA veranstaltet.

Man nahm den Internet-Angriff in Südkorea sozusagen als symbolischen Akt, das legte auch die Liste der Websites nahe. Von der National Security Agency bis zum Weißen Haus wurden alle möglichen US-Behörden und ihre Gegenparts in Südkorea attackiert: Regierungswebsites, die Aufsichtsbehörden KCC, KISA sowie der Geheimdienst NIS.

Abwehrmaßnahmen

Weil die erste Welle mit einem verhältnismäßig kleinen Bot-Net von etwa 20.000 Rechnern ausgeführt wurde, ging man in beiden Ländern offenbar davon aus, die Attacke ohne größeres Aufsehen in der Öffentlichkeit abwehren zu können.

Die Gegenmaßnahmen bestehen - verkürzt gesagt - in der Identifikation der angreifenden PCs, der Sperre der betreffenden IP-Adressen sowie der Information der Internet-Provider, aus deren Netzen angegriffen wird.

Welle zwei

So sah es denn auch Montag und Dienstag eine Zeitlang aus, als wäre alles schon vorbei. Die US-Websites hatten die Angriffe großteils gut überstanden, und auch die südkoreanischen waren wieder am Netz.

Gerade als man sich in Seoul anschickte, zu "Business as usual" überzugehen, traf die zweite Angriffswelle Südkoreas Infrastruktur.

Etwa 30.000 Zombie-PCs griffen Dienstag und Mittwoch vor allem den Publikumsbankensektor, aber auch wieder südkoreanische Regierungsstellen an, KCC und KISA und der Geheimdienst NIS waren ebenfalls wieder unter den Zielen. Dazu kamen alle großen Webportale des Landes.

Dieser Schlag traf, denn die Online-Banking-Sites der größten Institute des Landes waren Dienstag und Mittwoch stundenlang nicht funktionsfähig. Die Probleme zogen sich bis in den Donnerstag, die Warnungen der südkoreanischen Anti-Virus-Firma AhnLabs, dass für den Abend ein weiterer Schlag bevorstehe, nahmen die Behörden offenbar nicht ernst genug.

Welle drei

Obwohl die Angreifer bereits eine kleine Armee von Zombie-Rechnern verheizt haben mussten, standen immer noch genug in der Reserve, um einen dritten Schlag gegen sieben prominente Websites in Südkorea zu führen.

Wieder waren die Kookmin Bank, das führende Boulevardblatt "Chosun Ilbo", E-Government-Websites und die großen Publikusmportale wie Naver.co.kr betroffen.

Doch dann war Schluss. Wie die Spezialisten von AhnLabs, die den stets wechselnden Code, den die Söldnerarmee aus infizierten Rechnern herunterlud, laufend analysiert hatte, angekündigt hatten, stand am Ende ein kollektiver Selbstmordversuch.

Der Zombie-Suizid

Die verbliebenen Zombie-Rechner versuchten zum Schluss, einen Virus mit der vom "MyDoom"-Wurm bekannten Schadfunktion herunterzuladen, die den Inhalt der Festplatte verschlüsselt bzw. diese überhaupt vollständig überschreibt.

Da die meisten Steuerserver zu diesem Zeitpunkt bereits von den Behörden ausgeschaltet waren, dürfte sich die Zahl derartiger Schäden in Grenzen halten.

Auch hier wieder Symbolik. Die unbekannten Angreifer legten Wert darauf, sich von herkömmlichen Bot-Net-Betreibern zu unterscheiden, deren Kapital ja die Summe der kontrollierten Zombie-Rechner ist.

Echte Viren, Geschäftsmodelle

Ihre Tools sind Backdoors, Downloader, Trojaner bzw. Rootkits, das sind allesamt Schadprogramme, die den befallenen Rechner steuern, tarnen und Software nachladen.

"Echte" Viren, also Programme, die den befallenen Rechner zerstören sollen, passen überhaupt nicht zum Geschäftsmodell der Bot-Net-Gangs. Die leben davon, dass sie ihre Infrastuktur an Spammer, Phisher, Penny-Stocks-Betrüger, an Vertreiber von gefälschten Medikamenten, aber auch von Kinderpornografie vermieten.

Wie vorgegangen wurde

Nach übereinstimmenden Aussagen von AhnLabs und anderen Experten wurden die Angriffe auch nicht zentral, sondern bis zum Schluss vollautomatisch dezentral gesteuert, von einer herkömmlichen "Command and Control"-Software zur "Handsteuerung" gab es keine Spur.

Dafür fand sich fast ein Dutzend verschiedener Trojaner in den Quellcodes auf befallenen Rechnern, hinter denen stand eine Batterie von - ebenfalls gekaperten - Steuerrechnern, von denen periodisch neue Befehle empfangen wurden.

Der gesamte Mechanismus war vom Start der Aktion an fertig aufgestellt, man hatte also die Reaktionen der Angegriffenen von vornherein einberechnet.

Das passt ins Gesamtbild einer hochprofessionell vorbereiteten Aktion, die auch taktisch sehr gut geplant war. Der eigentliche Schlag erfolgte, als die Attacke scheinbar schon abgewehrt war.

Das Territorium

Der große Vorteil der Angreifer war gewissermaßen das Terrain. Während es in herkömmlichen Kriegsszenarien gewöhnlich die Verteidiger sind, die ihr Territorium und ihre Infrastruktur weit besser nützen können als jeder Angreifer, ist die Lage in einem derartigen "Cyber-War" genau umgekehrt.

Die hervorragend ausgebaute Infrastruktur in Südkorea, das bekanntlich zu den Top-Drei-Staaten weltweit gehört, was die Breitband-Penetration betrifft, kam alleine den Angreifern zugute.

Da der überwiegende Teil der Zombie-Rechner an schnellen Breitbandleitungen in Südkorea hing, verfügte eine vergleichsweise kleine Armee von höchstens 50.000 PCs über viel Bandbreite und damit über enorme "Feuerkraft".

"Fast Flux"

Das Bot-Net hat sich als sehr widerstandsfähig gegen Abwehrversuche erwiesen, einzelne US-Behörden wie die Transportsicherheitsbehörde TSA und der Secret Service hatten laut "Washington Post" zeitweilig Probleme, die Angriffe abzuwehren.

Im weit weniger gut abgesicherten Südkorea hatte man seine liebe Not, zumal - sehr verkürzt gesagt - die involvierten Zombie-PCs von den Zombie-Steuerservern dynamisch wechselnde IP-Adressen zugewiesen bekamen. Darauf war man ungenügend vorbereitet.

Alles deutet daraufhin, dass es sich um ein fortgeschrittenes Bot-Net vom Typus "Fast Flux" gehandelt haben muss. Das setzt schon ziemlich viel Know-how und zudem nicht unbeträchtliche Ressourcen voraus.

Die angegriffenen Medien

Gestartet wurde an einem Samstag in Südkorea und in den USA, dort war zusätzlich noch "Independence Day", mitten im Sommmerloch, generell ist das einer der nachrichtenärmsten Tage im Jahr.

Im "Angriffsmix" der betroffenen Websites waren nur ganz wenige Medien quasi exklusiv dabei, die "Washington Post" und eine US-Militärfachzeitschrift wurden leicht beeinträchtigt, in Südkorea gingen die führende Boulevardzeitung, alle großen Webportale inklusive der Banken stundenlang in die Knie.

Die Strategie der Angreifer

Wer immer dieses präzis geplante Angriffsfeuerwerk durchgezogen hat, hätte deutlich mehr finanziellen Schaden anrichten können.

Eine Serie von Attacken mit derselben "Feuerkraft" auf die Finanzmärkte im Businessbereich zur besten Geschäftszeit, nämlich auf Brokerfirmen, Börsen, Banken im B2B-Bereich hätte im hochtechnisierten Südkorea volkswirtschaftlich unvergleichlich härter getroffen.

Es ging den Angreifern von der Strategie her vor allem um kommunikatorische Reichweite - und die bekamen sie. Wie aber lautete die Botschaft? Die breitbandstarke Internet-Infrastruktur der Republik Südkorea kann mit einem kleinen, aber gut organisierten Bot-Net sechs Tage lang so angegriffen werden, dass alle führenden Websites zeitweise nicht benutzbar sind.

(futurezone/Erich Moechel)