Google hat von China ausgehende DDoS-Angriffe auf GitHub und Greatfire.org kommentiert. Nach seinen Erkenntnissen hätte durchgängige Verschlüsselung die Umlenkung von Traffic durch die Angreifer verhindert. In einem Blogbeitrag schreibt sein Security Engineer Niels Provos: „Dies liefert weitere Motivation, um das Web auf verschlüsselte, in ihrer Integrität geschützte Kommunikation umzustellen. Leider ist die Abwehr solcher Angriffe für Website-Betreiber nicht einfach.“
Verlauf des „Great Cannon“-Angriffs (Diagramm: Google)Der Angriff, den Google vom 1. März bis 15. April beobachtete, wird inzwischen als „Great Cannon“ („große Kanone“, in Anlehnung an das staatliche chinesische Zensursystem „Great Firewall“) bezeichnet. Google hat auf Basis seiner Safe-Browsing-Infrastruktur eine Analyse vorgelegt. Demnach wurde das Angriffsverfahren zunächst getestet; ab dem Angriff auf Greatfire.org am 14. März begann der Einsatz im großen Maßstab.
Schon länger ist klar, dass Unbekannte aus dem Ausland an die Suchmaschine Baidu gerichtete Anfragen am Übergang zum chinesischen Netz manipulierten. Provos erklärt, wie solcher Traffic durch Injektion von HTML und JavaScript auf die Opfer des Angriffs umgelenkt wurde: „Zunächst erfolgten die Anfragen über HTTP, und sie wurden später auf HTTPS umgestellt. Am 14. März begann der Angriff wirklich und zielte sowohl über HTTP als auch über HTTPS auf d3rkfw22xppori.cloudfront.net ab. Dieser spezielle Host wurde bis 17. März angegriffen.“
Von dort aus wurde der Traffic wiederum umgeleitet: „Während dieser Phase begann der Cloudfront-Host irgendwann, 302-Redirects zu greatfire.org und anderen Domains zu liefern. Die Ersetzung von JavaScript endete am 20. März komplett, aber Injektionen in HTML-Seiten gab es weiter. Der Angriff auf GitHub scheint am 7. April geendet zu haben, und zu diesem Zeitpunkt beobachteten wir letztmals Code-Injektionen.“
Google hat im Lauf seiner Beobachtung 19 verschiedene JavaScript-Angriffscodes ausgemacht. Die Zahl der HTML-Attacken ließ sich nicht ermitteln, sie operierten aber ähnlich.
Im Rahmen von Safe Browsing konnte Google nur HTTP-Traffic analysieren. Es kann daher keinen bestimmten Angreifer identifizieren. Immerhin zeige der Fall, dass sich ein solcher Angriff nicht leicht verbergen lasse, erklärte Provos. „Das könnte auf künftige Versuche abschreckend wirken.“
[mit Material von Chris Duckett, ZDNet.com]
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…