Sicherheitsstudie beschreibt fehlgeschlagenen Anonymous-Angriff

Die Sicherheitsfirma Imperva hat einen Angriff von Anonymous analysiert und die Ergebnisse veröffentlicht. Die Studie (PDF) beschreibt drei Phasen der Attacke, die angenommene Struktur der Gruppe, die eingesetzten Tools und Methoden.

Imperva nennt darin nicht das beobachtete Angriffsziel. Es soll sich dabei um eine Website
des Vatikans gehandelt haben, wie die New York Times berichtet. In seiner „Operation Pharisee“ wollte das Hackerkollektiv auf die „sexuellen Verbrechen des Vatikans“ aufmerksam machen und griff mit dieser Begründung eine Site an, die zum Papstbesuch während des Weltjugendtages 2011 in Spanien eingerichtet wurde. Die Attacke blieb jedoch weitgehend wirkungslos und verursachte nur mäßiges Aufsehen.

Laut Imperva diente die erste Angriffsphase der Kommunikation und Rekrutierung. Die Gruppe stellte ein Video bei YouTube ein und machte bei Facebook sowie Twitter darauf aufmerksam. „Das ist die Essenz aller Hacktivismus-Kampagnen“, führt der Bericht aus. „Es ist die Raison d’Être des Hacktivismus, Aufmerksamkeit auf ein Anliegen zu lenken, daher ist diese Phase kritisch.“

Die Kommunikationsphase dauerte rund 18 Tage, vermittelte ein Datum und Details zum Angriffsziel für eine kommende DDos-Attacke (Distributed Denial of Service). In einer zweiten mehrtägigen Phase erfolgte eine gründliche Erkundung mit versuchten Angriffen auf Webanwendungen, um mögliche Schwachstellen zu identifizieren, die zu einer wirksamen Attacke beitragen könnten. Sie wurde von einer kleinen Kerngruppe von Anonymous-Mitgliedern durchgeführt. Imperva zufolge waren es nicht mehr als 10 bis 15 erfahrene Hacker, die mit geeigneten Tools umgehen und ihre Spuren gut verwischen konnten. Anhand der Serverlogs seien dennoch mehrere übliche Angriffswerkzeuge festzustellen gewesen.

Mangels effektiv nutzbarer Sicherheitslücken wählten die Angreifer eine für DDoS-Angriffe besonders geeignete URL, die den Server zu Abrufen aus einer Datenbank veranlasste. Da dies zu einer weit höheren Belastung als durch einfache Aufrufe von Webseiten führte, bot sich dieser Weg an, um die Website unerreichbar zu machen.

In der dritten Phase – Tag 24 und 25 – erfolgte der eigentliche Angriff, nachdem das Video über 70.000-mal angesehen wurde. An ihm sollen rund 1000 Anonymous-Unterstützer teilgenommen haben. Sie besuchten eine von Anonymous vorbereitete Webseite, die über JavaScript-Code sich ständig wiederholende Zugriffe auf die anzugreifende IP-Adresse auslöste. Die Angriffe waren auch über die Browser von Mobiltelefonen möglich.

Die DDoS-Attacke soll am ersten Tag zum 28-fachen Traffic, am folgenden Tag sogar zu einer 38-fachen Steigerung geführt haben. Beteiligte Hacker berichteten von einer dadurch verlangsamten Site, die „in einigen Ländern“ nicht erreichbar gewesen sei. Imperva bestreitet jedoch eine Beeinträchtigung des Angriffsziels und erklärt, seine Abwehrtechniken hätten das hohe Traffic-Aufkommen erfolgreich abgeleitet.

[mit Material von Michael Lee, ZDNet.com]