Polizei Bielefeld fasst Urheber zahlreicher DDoS-Attacken in Deutschland

SicherheitSicherheitsmanagement

Er hat unter dem Pseudonym “ZZB00t” agiert und bundesweit Firmen angegriffen. Der 24-jährige Fachinformatiker hat Mitte April damit begonnen und seitdem nahezu täglich zugeschlagen. Seine Aktionen kündigte er stets als Performancetest oder Stresstest zuvor per Twitter an.

Auf seinem mittlerweile gelöschten Twitter-Konto bezeichnete sich ein 24-jähriger Fachinformatiker aus Voerde am Niederrhein als “mentally disturbed gray hat” sowie als ehemaliger IT-Security-Consultant. Seine Opfer, darunter den Münchner Netzbetreiber M-Net sowie die E-Commerce-Unternehmen Rakuten.de, Hood.de und Redcoon.de, offenbar auch Shopware und Profihost sowie den Glasschmuckhersteller Swarovski, bezeichnete er als “Kunden”. Seine Aktivitäten sah er wohl mehr oder weniger als ungefragte Beratungsdienstleistung, die erforderlich sei, weil es “da draußen so viele unsichere Server” gebe.

DDoS (Bild: Shutterstock/Evlakhov Valeriy)
Der jetzt verhaftete Fachinformatiker mit dem Pseudonym “ZZb00T” versetzte rund einen Monat deutsche E-Commerce-Anbieter mit DDoS-Attacken in Angst und Schrecken DDoS (Bild: Shutterstock/Evlakhov Valeriy)

Jetzt haben das Fachkommissariat für Computerkriminalität der Kriminalpolizei Bielefeld und die Schwerpunktabteilung für Wirtschaftskriminalität der Staatsanwaltschaft Bielefeld seine Identität herausgefunden und ihn wohl bei der Arbeit vom Schreibtisch weg verhaftet. Wie die Behörden mitgeteilt haben, legte er über ein Botnetz “die Online-Präsenzen namhafter deutscher Firmen lahm. Er verlangte, damit die Angriffe gestoppt würden, eine Lösegeldzahlung in Bitcoins, einer anonymen Onlinewährung.“ Die Festnahme sei bereits am 23. Mai erfolgt. Das Twitter-Konto des 24-Jährigen ist inzwischen deaktiviert worden.

Seinen Aktivitäten haben zuvor diverse Experten nachgespürt, unter anderem des auf Anti-DDoS-Lösungen spezialisierten Unternehmens Link11. Ihnen zufolge hat ZZB00t unter anderem Rakuten.de, billiger.de, Hood.de und Redcoon.de und “große Logistikunternehmen” (vermutlich DHL) erfolgreich angegriffen.

Mit seinen Aktivitäten begann ZZB00t demnach am 22. April. Den Experten von Link11 waren am 17. Mai noch keine Schutzgeldforderungen bekannt, wie sie die Behörden ZZB00t jetzt vorwerfen. Möglicherweise wurden die aber nicht öffentlich gestellt, sondern direkt an die Betroffenen gerichtet. Auf Twitter bezeichnete sich der Hacker wiederholt als Schwachstellenjäger und nannte als Motivation, dass es einfach zu viele unsichere Server geben.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Seine Angriffe kündigte er oft mit mehreren Stunden Vorlauf an, erfolgreich waren sie trotzdem: Oft waren die Angebote der Angegriffenen – teilweise trotz diverser DDoS-Schutz-Dienste – mehrere Stunden lang offline. Laut Link11 setzte ZZb00T “auf Volumen-, Protokoll- und Applikationsattacken, die wenige Minuten bis hin zu mehreren Stunden und Tagen andauern. Die Schlagkraft der Angriffe ist mit bis zu 20 Gbps nicht außergewöhnlich hoch. Sie reicht aber aus, um Server mit Uplinks von 1 bis 2 Gbps offline zu nehmen.”

Besonderheit der Attacken von ZZb00T sei es, dass sie sich nicht gegen den Domainnamen, sondern die originale IP-Adresse richten. “ZZb00t nutzt gezielt die Schwachstelle vieler IT-Infrastrukturen aus, die den DDoS-Schutz ihrer originalen IP-Adressen vernachlässigen und nicht über ein Site Shield vom direkten Zugriff abschirmen”, so das Fazit der deutschen Anti-DDoS-Experten. Eigenen Angaben zufolge hat ZZb00T zwar alleine gearbeitet, der Kommunikation bei Twitter zufolge stand er aber möglicherweise doch in einem Vertrauensverhältnis zu anderen Personen. Dazu gibt es aber bislang lediglich Vermutungen, die Behörden haben dazu noch keine Auskunft gegeben.

Umfrage

Wo setzen Sie bei der Effizienzsteigerung ihrer Infrastruktur die höchste Priorität?

Ergebnisse

Loading ... Loading ...
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen