22. Mai 2017: DHL leidet heute erneut unter einer schweren DDOS-Attacke. Diesmal bekennt sich ZZb00t zu diesem Angriff. Die Meldungen bei allestörungen.de schnellen in die Höhe. Händler beklagen den Ausfall bereits in der Wortfilter-Facebook-Gruppe.
Innerhalb von Minuten schossen die Meldung bei allestörungen.de in die Höhe. Gerade Montags trifft es DHL und die mit diesem Versender arbeitenden Händler hart. Alle Verkäufe, die über das Wochenende passiert sind, wollen heute verschickt werden.
Gegen Mittag und am Nachmittag sollte alles wieder ‘fine’ sein
Aus meiner Kommunikation mit dem DDOS-Experten erfuhr ich, dass der Angriff gegen Mittag beendet sein soll. Es ist also davon auszugehen, dass gegen Nachmittag die DHL-Systeme wieder laufen.
Was kommt da auf uns zu? XMR-Squad is back!
Verfolgt man aufmerksam die Twitter-Profile von zzb00t und xmr-squad, dann wird einem ‘Angst & Bange’:
Von daher ist meine Prognose auch mit Vorsicht zu genießen. Sollte XMR-Squad heute nachlegen, dann kann es durchaus passieren, dass DHL den ganzen Tag lahmgelegt ist.
Vergangene Woche hatte ja die Hacker Gruppe XMR-Squad für etwas Wirbel im E-Commerce gesorgt. Durch die DDoS-Attacken auf die Seiten von DHL und Hermes beklagten viele Händler Schwierigkeiten beim Versand ihrer Pakete. Aber auch die Auftritte von Freenet und Alditalk, Jabber und Knuddels waren betroffen. Ich berichtete in mehreren Artikeln davon.
Ankündigung auf Twitter
Auf Twitter kündigte die Gruppe an, sich in den nächsten Tagen verabschieden zu wollen, und zählte mit Posts wie ‘1d’ die Tage rückwärts.
Und das war der letzte …
Nach diesem Post wurden alle Mitteilungen und der Twitter Account gelöscht.
Schwarz, weiß oder grau
Es entstanden durch die Kommunikation und die Medienberichterstattung auch spannende neue Kontakte. Es gibt die Guten, die Bösen und die dazwischen. Auf @ZZb00t wies die Community mit diesem Tweet auf einen kleinen Lapsus hin:
Ob die Gruppe nun enttarnt und zur Verantwortung gezogen wird, hängt von den Ermittlungsbehörden ab. Wir dürfen gespannt sein.
Kids or no Kids?
Diese Frage wurde oft gestellt, aber ich halte sie schlicht für nicht relevant. Wichtiger ist die Erkenntnis, dass DDOSsen offensichtlich einfach ist. Sei es über eigene Server, ein eigenes Bot-Netz oder über DDOS-as-a-Service. Und da liegt doch der ‘Hase im Pfeffer’.
2 Fragen sind wichtig
Wer hat denn nun für den Schutz vor DDOS-Attacken zu sorgen? Der ISP oder der Server-Betreiber? In meinen Augen hat der ISP den ‘Ball in seiner Hälfte’. Buden wie 1&1 oder HostEurope haben mir als Nutzer und Mieter die Sicherheit zu geben. Denn ich habe weder die Möglichkeit noch das Know-how, mich vor solchen Angriffen zu schützen. Nur glaube ich, dass gegenwärtig noch nicht geklärt ist, wer denn den ‘Ball’ besitzen soll. Schade.
Die weit größere Gefahr geht jedoch von der Schlagkraft der Gruppe aus. Wer DHL in die Knie zwingt, für den sind auch andere Szenarien keine große Herausforderung. Spannt ihr euch also solch eine Truppe vor den Karren, können mit wenigen Angriffen große Teile des E-Commerce empfindlich gestört werden. Stellt euch einmal Folgendes vor: xmr-sqaud hätte nicht DHL angegriffen, sondern die großen Abwicklungssysteme wie plentymarkets, afterbuy, actindo, dreamrobot und 4sellers. Dazu noch den einen oder anderen Repricer. Oder wie wäre es mit kleineren Marktplätzen und Preissuchmaschinen wie Hood, real, Rakuten, Idealo und billiger.de. Was wäre da los gewesen?
Die Gefahr ist riesengroß
Auch wenn es viele Stimmen in Diskussionen gab, dass die Gefahr doch eigentlich gar nicht so groß sei, stimme ich dem nicht zu. Sofern der Zugang zu DDOS-Dienstleistern so einfach und günstig ist, lassen sich auch Attacken gezielt gegen Wettbewerber nahezu sorgenfrei umsetzen.
Dazu reicht ein 100€ Tablet und ein öffentliches WLAN oder ein Prepaid-Handy mit gutem Datenvolumen.
Händler nur mit eigenen Shops tragen das größte Risiko
Händler, die sich stark oder ausschließlich auf den Handel ihrer Produkte über einen eigenen Shop oder über kleine Marktplätze fokussieren, tragen das größte Risiko.
21. April 2017 18:00 Uhr – Soeben kündigen die Hacker-Kids XMR-Squad einen DDoS Angriff auf myhermes.de an. Wie lange die Attacke andauern soll ist nicht bekannt. Eigenen Angaben nach wird die Hacker-Gruppe innerhalb von 300 Sekunden 104 Mio. Anfragen auf die Server schicken und dabei bis zu 61 Gigabyte an Daten übermitteln.
21. April 2017 6:55 Uhr – DHL ist erneut einer DDoS-Attacke ausgesetzt. Nutzer die das Geschäftskundenportal aufrufen möchten melden bereits eine Störung in der Wortfilter-Facebook-Gruppe.
Wie auf dem Twitter-Account @xmr_squad zu lesen ist, greifen sie erneut DHL an.
Störung über den ganzen Tag erwartet
Wenn die Attacke ähnlich verläuft wird den ganzen Tag mit erheblichen Störungen zu rechnen sein. Bereits am 19. April wurden die DHL Services massiv durch einen DDoS-Angriff gestört.
AKTUALISIERT: Probleme beim Ausdrucken von Versandetiketten von DHL und Deutsche Post
Freitag, 21. April 2017 | 11:10 Uhr MEZ
Liebe eBay-Mitglieder,
wenn Sie zurzeit für Ihren verkauften Artikel ein Versandetikett von DHL oder Deutsche Post ausdrucken möchten, kann es zu Problemen kommen. Unsere Versanddienstleister arbeiten mit Hochdruck an einer Lösung.
Bitte haben Sie ein wenig Geduld. Wir informieren Sie, sobald Sie wieder Versandetiketten über Mein eBay ausdrucken können.
Unmittelbar nach dem Artikel über die Störung bei DHL, erhielt ich einen Anruf sowie eine Mail von der für die Störung verantwortlichen Hacker-Gruppe ‘xmr squad’. Die Gruppe veröffentlicht ihre Aktivitäten unter dem Twitter Account @xmr_squad und auf der Website http://xmr-squad.biz/ (http://185.188.204.15/). Dort finden sich dann auch noch einmal die Hinweise auf die DHL-Störung.
Ursache war eine DDOS-Attacke?
Den Schilderungen der Hackergruppe nach, haben sie erfolgreich die Seiten von DHL per DDOS-Attacke angegriffen.
DHL war wohl nicht bereit, den geforderten Geldbetrag zu zahlen. Ein Vertreter der Gruppe bat mich folgendes zu veröffentlichen:
“Vielleicht könnten Sie auch erwähnen, dass DHL keine 250€ bezahlen wollte und sie die Kunden so vernachlässigt haben. Kein Problem :=” (Quelle: Twitter Kommunikation)
Die Gruppe möchte bekannt werden
Klar scheint mir der Grund zu sein, warum xmr-squad sich bei mir gemeldet hat. Sie wollen bekannt werden und ihre Drohungen sollen zukünftig mehr Wirkung zeigen.
Ob nun ausschließlich finanzielle oder aber auch politische Interessen vertreten werden, ist mir unbekannt. Ich bin gespannt, wann wir das nächste Mal von der Gruppe hören werden.
Die Mail deutet auf eine russische Urheberschaft hin
Die an mich geschickte Mail der Gruppe deutet darauf hin, dass sich hinter ‘xmr-squad’ eine russische Gruppierung befindet. Auch das Telefonat deutet darauf hin. Der Anrufer hatte einen leichten Akzent, sprach jedoch einwandfreies Deutsch.
Die Frage nach Sicherheit und Systemlast
Nicht häufig genug kann darauf hingewiesen werden, wie wichtig ein guter Schutz gegen Angriffe ist. Gerade große Websites scheinen offensichtlich nicht darauf ausgerichtet zu sein, wenn sie einem DDOS-Angriff ausgesetzt sind.