Wie Noname05716 die Schweiz mit DDoS-Angriffen überhäufte

2. November 2023 um 13:24
  • security
  • NCSC
  • cyberangriff
  • ddos
  • Noname
  • bund
  • Schweiz
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Im Sommer haben prorussische Hacker die Schweiz mit DDoS-Attacken angegriffen. Eine Analyse des NCSC zeigt, wie die Cyberkriminellen vorgegangen sind.

Im vergangenen Sommer wurden zahlreiche Schweizer Websites mit DDoS-Angriffen lahmgelegt. Zuerst traf es den Onlineauftritt der Parlamentsdienste, nachdem der Ständerat entschieden hatte, dass die Weitergabe von in der Schweiz gekauftem Kriegsmaterial unter bestimmten Umständen erlaubt werden soll.
Nur wenige Tage später waren Webseiten von Bundesämtern, Parlament, Grossunternehmen, einigen Flughäfen, Städten und Kantonen sowie der Schweizerischen Bankiervereinigung nicht mehr erreichbar. Grund für diese zweite Welle war die bevorstehende Ansprache des ukrainischen Präsidenten Wolodymyr Selenskyj im Nationalrat.
Die offensichtlich politisch motivierten Angriffe wurden von der prorussischen Hackerbande Noname05716 orchestriert. Auf ihrem Telegram-Kanal brüstete sich die Gruppe mit ihren Taten. Die Schweiz ist in der Zwischenzeit zum am häufigsten von Noname angegriffenen Land weltweit aufgestiegen.

Kein klassisches Botnetz

Jetzt zeigt eine Analyse des Nationalen Zentrums für Cybersicherheit (NCSC), wie die Hacker bei ihren Angriffen vorgegangen sind. "Der Akteur verwendete kein klassisches Botnetz, sondern zählte auf die Unterstützung von Freiwilligen, sogenannten Heroes", heisst es im Bericht der Behörde. Die Heroes installierten einen DDoSia-Client auf ihren Computern und setzten diesen dann für ihre Angriffe ein.
Dazu registrierten sie sich über einen Telegram-Bot. Nach der Anmeldung wurde eine URL für den Download der ausführbaren DDoSia-Dateien und eine Textdatei mit einer eindeutigen ID zur Identifizierung des registrierten Angreifers versendet. Die Freiwilligen konnten damit ein Krypto-Wallet erstellen, auf das Belohnungen ausbezahlt wurden.
Noname versprach den Freiwilligen, dass sie auf Basis der Anzahl von durchgeführten Angriffe entlohnt werden. Dazu wurde jeweils täglich ein Ranking mit den erfolgreichsten Angriffen angelegt und die besten Heroes entsprechend belohnt. Gemäss einem Post auf Telegram sah das Auszahlungsschema wie folgt aus:
  • 80'000 Rubel für den 1. Platz (776.45 Schweizer Franken)
  • 50'000 Rubel für den 2. Platz (485.28 Schweizer Franken)
  • 20'000 Rubel für den 3. Platz (194.10 Schweizer Franken)
Zusätzlich zu den Topplatzierungen wurden weitere 50'000 russische Rubel (485.28 Schweizer Franken) unter den Heroes auf den Plätzen 4 bis 10 aufgeteilt. Die Belohnungen wurden in Kryptowährungen wie Ethereum, Bitcoin und Tether ausbezahlt. Wer der Sponsor dieser finanziellen Mittel ist, bleibt jedoch unklar, schreibt das NCSC. "Im Gegensatz zu anderen Cyberaktivisten führte der Akteur bislang keine Spendenaufrufe durch."

Einzelne IP-Adressen blockiert

Während der DDoS-Angriffe auf die Bundesverwaltung wurden rund 20'000 verschiedene IP-Adressen festgestellt. Statistiken über die Angriffe auf die Bundesverwaltung zeigen, dass 3% aller IP-Adressen dem Schweizer IP-Adressenbereich zugeordnet werden konnten. Der Datenverkehr war mit einem Schnitt von 20'000 bis 25'000 pps (Packets per Seconds) und weniger als 200 Mbit/s eher gering, schreibt das NCSC.
Gestoppt werden konnte die DDoS-Welle durch die Analyse der Angriffsmuster. Durch das Filtern der Log-Dateien auf den User-Agents des DDoSia-Clients konnte eine Liste mit IP-Adressen von beteiligten Heroes erstellt werden. Mittels dieser Aufstellung konnte der schadhafte Netzwerkverkehr dann beim Internet-Router der betroffenen Organisation oder direkt beim Internet-Provider mittels Null-Routing blockiert werden.
Der vollständige Bericht des NCSCs (PDF) ist online einsehbar. Darin wird die eingesetzte DDoS-Angriffsvariante auf der Applikationsebene detailliert erläutert. Zudem findet sich in dem Report auch eine technische Beschreibung des DDoSia-Clienten, eine Chronologie zum Ablauf der einzelnen Ereignisse sowie zur politischen und medialen Wirkung der Angriffe.
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Jetzt unterstützen



Loading

Mehr zum Thema

image

Investitionen in Schweizer Startups weiter im Rückgang

2024 wurde weniger Kapital in Jungunternehmen investiert. Der ICT- und Fintech-Sektor büsste besonders stark ein.

publiziert am 4.2.2025
image

Daten von Swissmem-Ausgleichskasse gestohlen

Die Ausgleichskasse des Verbandes der Schweizer Maschinen-, Elektro- und Metallindustrie wurde gehackt. Die Angreifer haben Server und Daten verschlüsselt.

publiziert am 4.2.2025
image

Kanton Zürich sucht Security-Expertise

Ein Expertenpool soll das Amt für Informatik bei der Umsetzung der Informations­sicherheitsrichtlinien unterstützen. Es geht um bis zu 7000 Arbeitstage.

publiziert am 4.2.2025
image

Wie geht es mit der Gerichtssoftware Juris weiter?

Vor einem Jahr wurde Juris von Abraxas an Logobject verkauft. An einem Event zeigte der neue Besitzer, wie er die veraltete Soft­ware­lösung weiterentwickeln will.

aktualisiert am 4.2.2025