1.12.2021
DDOS-Angriffe Zadarma

Ein neuer Trend im Jahr 2021 waren Erpressungsangriffe auf Cloud-VoIP-Anbieter. Heute gibt es kaum noch einen großen oder mittelgroßen Betreiber, der nicht angegriffen wurde, in einigen Ländern wurden sogar kleine Unternehmen angegriffen.

DDOS-Angriffe auf die Netze mittlerer und großer VoIP-Anbieter gab es schon immer, aber sie haben erst im Jahr 2021 diese Häufigkeit und Größenordnung erreicht.

Warum VoIP?

DDOS ist für alle SaaS und sogar für reine Informationsseiten beliebt. Während DDOS bei Informationsseiten in der Regel das Ziel hat, die Seite zu blockieren und Informationen zu verfälschen, geht es bei SaaS um Erpressung.

VoIP-Anbieter sind besonders anfällig für DDOS-Angriffe, da Sprachübertragung hohe Anforderungen an die Qualität des Internetkanals stellt. Schon bei geringen Verlusten oder Störungen wird die Sprachqualität schlechter. Sprachübertragungen sind schwieriger auf einem fremden Server zu platzieren, da sie eine Menge spezieller Software und Ausrüstung erfordern und in verschiedenen Ländern gesetzlich geregelt sind.

In Anbetracht all dieser Nuancen greifen Darknet-Erpresser einen nach dem anderen alle großen/mittleren VoIP-Anbieter an und fordern Bitcoins (es sieht so aus, als hätten einige sogar bezahlt).

Welche Arten von DDOS-Angriffen sind online beliebt?

Wenn wir über DDOS-Angriffe auf VOIP (und nicht nur) so kurz wie möglich sprechen, sollten sie in drei Stufen unterteilt werden:

  1. Überlaufangriff und Routerüberlastung. Eine andere Bezeichnung für Angriffe über Verstärker (kann sowohl UDP als auch TCP und ICMP sein, UDP ist am weitesten verbreitet). Verstärker sind offene DNS- und andere Server, die auf ein Paket mit einer gefälschten Source-IP antworten (und die Antwort an das Opfer senden).
  2. Ein Angriff auf einen Service-Port des Servers, z. B. 5060 UDP für SIP (oder SYN-Flooding, wenn es sich um TCP handelt).
  3. Ein Angriff auf die Benutzerebene, wenn eine SIP- oder HTTPS-Aktionsanfrage gesendet wird.

Angriffe auf Zadarma im letzten Jahr.

Ende Januar 2021 wurde das Zadarma-Netz erstmals Opfer eines Erpressungsangriffs. Es handelte sich um einen eher kurzzeitigen Angriff mittleren Umfangs (etwa 20 Gbps). Damals wurden Filter und ein teilweises Blackhole eingesetzt, um sie zu beseitigen. Bemerkenswerterweise erhielten wir zum ersten Mal während des Angriffs eine E-Mail, in der eine Zahlung in Bitcoins gefordert wurde, um den Angriff zu stoppen.

Da wir wussten, dass der Angriff nur noch zunehmen würde, haben wir unsere Netzwerkressourcen erheblich aufgestockt, was uns half, den Angriff Anfang Mai 2021 zu bewältigen, als die Gesamtleistung des Angriffs 100 Gbit in kleinen Paketen erreichte.

Der Angriff dauerte 7 Tage, mit nur geringen Unterbrechungen.

Der Angriff begann mit erweitertem Traffic (UDP, TCP, ICMP) zu den wichtigsten SIP-Servern, aber der Angriffsvektor änderte sich ständig. Und während es schnell und einfach war, den Schutz für neue Knotenpunkte hinzuzufügen/umzubauen, war es bei Angriffen der Schichten 2 oder 3 schwieriger und langwieriger, sie abzuwehren.

Am zweiten Tag des Angriffs führte die Änderung des Angriffsvektors und dessen Verstärkung zu einem kurzzeitigen Erfolg der Angreifer. Eines der wichtigsten Rechenzentren war für etwa drei Stunden praktisch nicht erreichbar, während andere eine Qualitätsverschlechterung verzeichneten. Das Rechenzentrum wurde für die Kunden geöffnet, nachdem der Schutz verstärkt worden war. Aber die meisten Kunden hatten keine Probleme, da dies am Sonntag dem 2. Mai geschah.

Die Angriffe erfolgten gleichzeitig aus verschiedenen Richtungen. Zum Beispiel erhöhter Datenverkehr zu SIP-Routern und anderen beliebten IPs im Netz, gleichzeitige Angriffe auf https (verschiedene Websites, die in der Domäne gefunden werden können), einschließlich Angriffe auf Ebene 2 und 3. Aufgrund des verteilten Netzes hatten die meisten Kunden keine Probleme beim Zugriff auf die Website. Die sozialen Medien wurden genutzt, um mit den Nutzern zu kommunizieren, die die Website nicht geöffnet hatten (unsere Social-Media-Abonnements verzeichneten in diesen Tagen den größten Anstieg im Jahr 2021).

Alle anderen Angriffe während der Woche wurden umgehend abgewehrt, in den meisten Fällen sogar ohne Beeinträchtigung der Sprachdienste.

Der Angriff konnte Dank der vorherigen Vorbereitung (basierend auf den Erfahrungen aus früheren kleineren Angriffen) abgewehrt werden: mehrere externe Kanäle in jedem Rechenzentrum (mit redundanter Geschwindigkeit), Router, mehrere Redundanzen, Möglichkeit, sowohl über UDP- als auch TCP-Protokolle zu arbeiten.

150.000 Dollar und der Angriff ist vorbei!

Was für alle am interessantesten war, ist natürlich nicht die technische Seite der Angriffe und Gegenmaßnahmen, sondern die Forderungen, um DDOS zu stoppen.

Die Forderungen der Angreifer wurden per E-Mail verbreitet und stiegen von 0,5 BTC auf 3 BTC (150.000 US-Dollar), als der Angriff eskalierte. Unsere grundsätzliche Haltung war, nicht in Verhandlungen zu treten und nicht zu zahlen. Eine Woche nach dem Start waren alle Möglichkeiten für die Angreifer erschöpft und sie verschwanden. Im letzten Brief schrieben sie, dass sie uns mit der ganzen Macht ihres Angriffs bombardieren würden, und es wurde klar, dass die Angreifer nichts mehr hatten.

Welche Erkenntnisse wurden gewonnen?

Künftig wird die Filterung zum Schutz vor Angriffen durch "Verstärker" deutlich verbessert, sowohl auf unseren eigenen Routern als auch in Zusammenarbeit mit den Internetanbietern (es macht keinen Sinn mehr, die Kanäle noch weiter auszubauen, aber selbst die verfügbaren Kanäle sind jetzt viel schwieriger zu füllen).

Die Cloud-Infrastruktur ist so optimiert, dass sie Angriffen der Schichten 2 und 3 standhält, und in jedem Rechenzentrum ist ein aktiver Schutz installiert (DDOS-Traffic-Clearing).

Außerdem wurde die Redundanz auf der Seite der Kundenanwendungen für den Fall von Angriffen und Störungen verbessert (um den Wechsel zwischen den Datenzentren zu erleichtern).

Dieser Angriff war weder der erste noch der letzte. Im Jahr 2021 ereigneten sich DDOS-Angriffe auf das Zadarma-Netz im Durchschnitt alle 2-3 Monate, und in allen Fällen, mit Ausnahme der beschriebenen, bemerkten die Kunden sie nicht.

Auch Zadarma ist bei weitem nicht der einzige VoIP-Anbieter, der DDOS-Angriffen ausgesetzt ist. Wir haben auch von Angriffen auf andere große amerikanische, britische und russische Betreiber gehört.

Es gibt Informationen über einen Präzedenzfall mit einem kleinen britischen Anbieter, der 1 Bitcoin an die Erpresser gezahlt hat. Nach 3 Tagen wurde der Angriff wieder aufgenommen und es wurden bereits 5 Bitcoins gefordert.

Wichtigste Schlussfolgerung: Wenn Sie SaaS anbieten, denken Sie im Voraus über DDOS-Schutz nach und verhandeln Sie nicht mit Erpressern.