Im Rahmen unserer internationalen Partnerschaften hören wir in den letzten Tagen vermehrt von Abuse-Meldungen aus russischen Netzwerken, die sich auf vermeintliche DDoS-Angriffe aus Netzwerken europäischer Institutionen und Firmen beziehen.

Das russische nationale Koordinationszentrum für Computersicherheitsvorfälle (NCCCI) hat inzwischen auch eine Liste an IP-Adressen und Domains veröffentlicht, die angeblich an Angriffen auf russische Netzwerke beteiligt waren.

Dabei handelt es sich in den meisten Fällen allerdings nicht um schwere Angriffe mit hoher Bandbreite oder Paketanzahl, die von mit Schadsoftware infizierten "Zombies" ausgingen, sondern oftmals um viele, vergleichsweise kleine, wissentlich von einzelnen Nutzern gestartete Angriffe, die unter Ausnutzung öffentlicher Tools oder Webseiten begangen worden sind.

Der Krieg zwischen Russland und der Ukraine hat als - bis zu einem gewissen Grad überraschenden - Nebeneffekt die Renaissance von Software, die der durch Anonymous bekannt und populär gemachten, zu DDoS-Zwecken verwendeten "Low Orbit Ion Cannon" ähnelt. Dutzende solcher Programme oder auf dem selben Prinzip basierende Webseiten werden aktuell auf den sozialen Netzwerken verteilt und fast schon begeistert von vielen Menschen genutzt.

Das ist aus vielerlei Hinsicht problematisch:

• Die Programme, die in den sozialen Netzwerken zum Zweck solcher Angriffe beworben werden, sind oftmals frisch geschriebene Skripte, die in der Anleitung prominent das Deaktivieren von Sicherheitssoftware oder das Ausführen mit administrativen Berechtigungen fordern. Ganz abgesehen von der grundsätzlichen Gefahr, die von zufälligen ausführbaren Dateien im Internet ausgeht, ist es nur eine Frage der Zeit bis die ersten Programme veröffentlicht werden, die einen noch bösartigeren Zweck verfolgen, als den Angriff auf fremde Computersysteme. Trojanisierte Software lässt grüssen.
• Infrastruktur ist nicht statisch und klar definiert. Die Pakete, die gesendet werden, verlassen nicht magisch das Endgerät und kommen am Ziel an. Dazwischen liegen dutzende, hunderte Netzwerkgeräte, Routen, Autonome Systeme, Adressbereiche und sonstige Komponenten, die das moderne Internet ausmachen. Das bedeutet, man bricht unter Umständen gleich in mehreren Jurisdiktionen Gesetze.
• Gleichzeitig bedeutet diese technische Komplexität auch, dass möglicherweise nicht nur das eigentlich geplante Ziel getroffen wird. Kollateralschäden könnten auch Infrastruktur oder Institutionen betreffen, die der eigenen Sache (welche auch immer das sein mag) nützlich wären.
• Dazu kommt, dass wir bereits bestätigte Berichte haben, dass Mitarbeiter:innen diese Programme nicht nur auf ihren privaten Endgeräten laufen lassen, sondern auch ihre Firmengeräte dafür nutzen, was die Sicherheitsproblematik, sowie etwaige juristische Probleme - sowohl für die Mitarbeiter:innen als auch das Unternehmen selbst - nochmals verschärft.

Für Sicherheitsverantwortliche gilt es hier einerseits die notwendige Awareness im Unternehmen zu schaffen und die eigenen Mitarbeiter:innen über die technischen und rechtlichen Risiken aufzuklären, die man mit der Teilnahme an solchen Angriffen eingeht und andererseits, sofern das mit vertretbarem Aufwand möglich ist, technische Massnahmen zu setzen, um solche Angriffe zu erschweren.

Beispielsweise sei hier die proxyseitige Sperre von Domains am internen Proxy genannt. So kann ich mir etwa nicht vorstellen, dass es einen relevanten Grund gibt, warum die Domain russianwarshipgofuckyourself[.]club aus dem eigenen Netz heraus erreichbar sein muss.

Auch wenn ich aus persönlicher Sicht die Frustration ob der eigenen Ohnmacht in Anbetracht der Situation in der Ukraine verstehen kann, "Cyber-Vigilantismus" ist keine Lösung. Es ist noch nicht einmal ein Lösungsansatz, sondern schafft nur noch mehr Probleme - und das nicht nur für das ursprünglich anvisierte Ziel.

Post Scriptum: Ich muss dennoch zugeben, "der Vizepremier eines europäischen Landes verkündet die Ausrufung einer sogenannten IT-Armee auf Telegram via Twitter" hatte ich definitiv nicht auf meiner Bingo-Karte für 2022.

Update, 11.03.2022: Wie befürchtet (okay: wie erwartet) wird, laut einem Blogpost von Cisco Talos, bereits Schadsoftware vertrieben, die vorgibt ein DDoS-Tool zu sein:

Opportunistic cybercriminals are attempting to exploit Ukrainian sympathizers by offering malware purporting to be offensive cyber tools to target Russian entities. Once downloaded, these files infect unwitting users rather than delivering the tools originally advertised.