BACS stoppt und analysiert Gorilla-Botnetz
Das Bundesamt für Cybersicherheit informiert über einen DDoS-Angriff auf einen Betreiber einer kritischen Infrastruktur. Dahinter stecken Cyberkriminelle, die solche Attacken unter dem Namen "Gorilla Services" als Dienstleistung via Telegram anbieten.
Das Bundesamt für Cybersicherheit (BACS) hat im September von einem Schweizer Betreiber einer kritischen Infrastruktur eine Meldung zu einer DDoS-Attacke erhalten. Die Attacke kam mutmasslich von einem DDoS-as-a-Service-Dienst, wie das BACS mitteilt. Dieser bietet seine Dienste unter dem Namen "Gorilla Services" über den Messenger-Dienst Telegram an. Die Gruppe soll im September 2024 für 300'000 Attacken verantwortlich sein. Das BACS identifizierte die von den Angreifern genutzte Infrastruktur und leitete nach eigenen Angaben Abwehrmassnahmen ein. Mit einer Beschwerde an Telegram konnte das Bundesamt zudem erwirken, dass der Telegram-Kanal der Angreifer stillgelegt wurde.
Bei einer DDoS-Attacke werden Onlinedienste oder Websites mit so vielen Anfragen torpediert, dass sie zusammenbrechen. Für diese Massenangriffe nutzen Cyberkriminelle ein Botnetz - eine grosse Anzahl infizierter Geräte, die koordiniert eingesetzt werden können. Der Code der Malware "GorillaBot", mit dem die Cyberkriminelle Linux/Unix-Geräte für ihr Botnetz infizieren, weist Ähnlichkeiten zum Schadprogramm Mirai auf - das schon seit Jahren für rekordverdächtige DDoS-Attacken sorgt.
Nicht jede DDoS-Attacke funktioniert auf dieselbe Weise. In diesem Fall handelte es sich um einen sogenannten DNS Amplification Attack, zu Deutsch "DNS-Verstärkungsangriff". Dabei werden unter Missbrauch des Domain Name Systems (DNS) sehr grosse Datenströme auf die Infrastruktur des Opfers gelenkt und diese dadurch überlastet, wie das BACS erklärt.
Obwohl die Angriffe zu kurzen Unterbrechungen einiger Dienste geführt hätten, betont das BACS, dass die Sicherheit und Integrität der Daten zu keinem Zeitpunkt gefährdet gewesen seien. Den vertiefenden technischen Bericht zur verwendeten Infrastruktur für den Angriff und die genutzte Malware finden Interessierte hier (PDF).
Das könnte Sie ebenfalls interessieren: Der Bundesrat hat das VBS beauftragt, die Schaffung von Rechtsgrundlagen zu prüfen, um das BACS bei Cybervorfällen schneller durch das Kommando Cyber der Armee unterstützen zu können. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.