tirsdag den 29. januar 2019

151.000 personer bestilte 4 millioner DDoS-angreb

20 landes politi har beslaglagt nettets største websted for bestilling af DDoS-angreb og retsforfølger nu brugerne.

I april 2018 nedtog politimyndigheder verdens største ulovlige markedsplads webstresser.org for DDoS-angreb som en del af Operation Power OFF. Det har givet politimyndigheder i og udenfor Europa et skatkammer af oplysninger om webstedets 151.000 registrerede brugere. Der er også danskere iblandt.


Europol og Joint Cybercrime Action Taskforce (J-CAT) koordinerer med støtte fra det hollandske politi og British National Crime Agency i januar 2019 aktioner over hele verden for at opspore brugerne af disse DDoS-angreb (Distributed Denial of Service – overbelastningsangreb). Webstedet Webstresser.org anses for at have været verdens største markedsplads for bestilling af DDoS-tjenester og har hjulpet med til at igangsætte mere end 4 millioner angreb for så lidt som 115 kr. om måneden. Ejere af botnet udbød deres service mod betaling til kunder, der ønskede bestemte websteder gjort uarbejdsdygtige via denne markedsplads.

Hvad er et DDoS-angreb?
DDoS-angreb er rettet mod tjenester på Internettet med det formål at overbelaste dem, så de ikke kan betjene deres egentlige brugere eller kunder. Det sker ved, at et såkaldt botnet, der består af pc’er, mobiltelefoner og andre internetforbundne apparater, samtidigt via installeret malware på dem samlet retter millioner af anmodninger per sekund via Internettet mod disse webtjenester. Det kan benyttes til afpresningsformål, hvor angrebet ophører mod betaling af en sum penge, eller til chikane eller hævn.
Historisk har DDoS-angreb været forbundet med hacker- og hacktivist-grupper og anses ofte for at være professionelle IT-kriminelles værk. Men i de senere år med DDoS-bestillingstjenester er barrieren sænket betydeligt. Disse tjenester tilbyder muligheden for anonymt at angribe ethvert mål på Internettet for få hundrede kroner.
Fordi denne form for aktivitet er ulovlig, vælger flere DDoS-bestillingsleverandører at kalde deres tjenester for en stresser, idet de kan benyttes til legalt at teste et serversystems robusthed mod angreb. Men disse tjenester tjekker ikke kundernes identitet for at afgøre, om tjenesten dermed er lovlig. Andre botnet-ejere kalder på den anden side en spade for en spade og benævner direkte deres tjeneste som booter eller ddoser. Stressere, bootere og ddosere gør nøjagtigt det samme - der er ingen forskel på deres tjenester.
Det er IT-kriminalitet-som-service.

Retsforfølgelse af brugerne

I Storbritannien har et antal af webstresser.org’s brugere for nyligt haft besøg af politiet, som har beslaglagt mere end 60 personlige elektroniske apparater fra dem til analyse som en del af Operation Power OFF. Det britiske politi har også gennemført et antal operationer mod andre DDoS-kriminelle; over 250 brugere af webstresser.org og andre DDoS-tjenester vil snart skulle stå til regnskab for den skade, de har forårsaget.

Virkningen af succesrige DDoS-angreb verden over blev for nyligt tydeligt ved domfældelsen for en 30-årig hacker, der fik næsten 3 års fængsel i Storbritannien efter at være blevet fundet skyldig i at udføre DDoS-angreb mod Liberias førende mobiltelefoni- og internetselskab. Han havde benyttet lejede botnet og stressere, før han udviklede sit eget botnet.  På sit højeste i november 2016 lagde det hele det vestafrikanske lands internetadgang ned med et angreb, der havde skader til mange millioner kroner til følge.

Landene, der er gået sammen om at bekæmpe DDoS-angreb, er Belgien, Kroatien, Danmark, Estland, Frankrig, Grækenland, Irland, Litauen, Portugal, Rumænien, Slovenien, Sverige, Tyskland, Australien, Colombia, Serbien, Schweitz, Norge og USA.

I Holland har politiet og anklagemyndigheden udviklet et særligt projekt kendt som Hack_Right til at tage hånd om unge førstegangslovbrydere for at forhindre dem i at forsætte med mere alvorlige forbrydelser. En hollandsk bruger af webstresser.org har allerede fået denne alternative sanktion.

Dansk politi har fundet 12-15 danske IP-adresser af interesse blandt brugerne af webstedet. Det har hidtil ført til seks anholdelser. Man har bl.a. fundet frem til flere mindreårige, hvoraf den yngste er blot 13 år. De enkelte politikredse tager sig af sagerne. De danske brugere har angiveligt bestilt angrebene for et lille beløb. Politiet opfordrer de unge mennesker, der har evner inden for IT, til at bruge dem mere konstruktivt. I Danmark går strafferammen for et DDoS-angreb op til to års fængsel, hvis det gøres flere gange, men mange sager ender dog med en bøde.

Følger af nedtagningen

Ifølge Europol har nedtagningen af webstresser.org en måned efter medført en nedgang i antallet af DDoS-angreb på 60 procent på verdensplan. 

Mens nogle har fokuseret deres aktioner mod især brugere af webstresser.org, har andre politimyndigheder verden over intensiveret deres aktiviteter mod brugere af DDoS booter- og stresser-tjenester i almindelighed. Det amerikanske FBI beslaglagde i december 2018 15 andre DDoS-bestillingswebtjenester, bl.a. de relativt kendte Downthem og Quantum Stresser. Det rumænske politi har ligeledes taget forholdsregler mod administratorerne af to småskala DDoS-platforme og har beslaglagt digitale beviser, bl.a. oplysninger om brugerne. Størrelsen betyder ikke noget – brugere på alle niveauer er på politiets radar, uanset om angrebene er rettet mod at sætte computerspillere i e-sportskonkurrencer ud af spillet eller en højniveau-hacker, der udfører DDoS-angreb rettet mod kommercielle mål med økonomisk vinding for øje.

Et DDoS-angreb på DSB

I maj 2018 oplevede DSB at blive ramt af et DDoS-angreb. Det betød, at billetsystemerne blev lammet i flere timer, således at passagerer ikke kunne købe billetter i appen, stationen eller i DSB's kiosker.

Den gode nyhed er, at tendensen er, at omfanget og varigheden af DDoS-angreb på danske virksomheder er faldende. Den dårlige nyhed er, at virksomhederne bliver ramt hyppigere og den samme virksomhed flere gange efter hinanden. Mere end halvdelen af alle angreb varer mindre end 15 minutter, men der følger flere angreb efter hinanden. Det kunne tyde på, at det er bestillingsarbejde, hvor der betales for en vis angrebsmængde, som det kan ske via disse DDoS-bestillingstjenester.

Center for Cybersikkerhed har flere gange advaret om, at flere kritiske sektorer er i meget høj risiko for at blive ramt af DDoS-angreb.

Letheden at udføre DDoS

DDoS-bestillingstendensen er et presserende problem, hovedsageligt pga. hvor let tilgængelig det er blevet. Stresser- og booter-tjenester har effektivt sænket indgangsbarrieren til IT-kriminalitet: for en lille betaling kan enhver med ringe IT-færdigheder starte et DDoS-angreb ved klik på en knap og derved bringe hele websteder og netværk i knæ ved at overdynge dem med trafik. Den skade, der kan udøves, kan være betragtelig og bringe virksomheder økonomisk i knæ og berøve folk for adgang til vigtige tjenester ydet af banker, offentlige institutioner og politiet.

Følger af anonymitet for brugerne

De, der bestiller sådanne DDoS-tjenester kan være anonyme, idet det er andres botnet, der udfører angrebene. Men er et bestillingswebsted blevet beslaglagt, kan politiet se IP-adresserne på kunderne. Dvs. det er kun muligt, hvis kunderne ikke har benyttet en anonymiseringstjeneste som TOR-netværket eller et virtuelt privat netværk (VPN), der begge skjuler den oprindelige IP-adresse. Men selv her har politiet muligheder. Hvis politiet holder webstedet i drift i nogen tid, kan de udnytte sikkerhedsbrister i softwaren på kundernes pc’er til at installere malware, der sender den oprindelige IP-adresse tilbage til politiet. Har politiet denne, er det sædvanligvis en smal sag at finde ud af navn og adresse på kunden.

Mange unge IT-entusiaster, der har fået blod på tanden af at kunne være anonyme på nettet, bliver involveret i denne tilsyneladende lavniveaukriminalitet uden at være klar over, hvilke konsekvenserne sådanne online-aktiviteter kan medføre. Cyberkriminalitet er ikke uden ofre, og den tages ekstremt alvorligt af politiet. De følgevirkninger en politiefterforskning kan have på disse teenageres liv, kan være alvorlig og gå så langt som til en fængselsdom i visse lande.

Uddannelse i programmering, færdigheder i spil, IT-sikkerhed eller ethvert andet IT-relateret fag, er særdeles efterspurgt, og der er mange karrierer og muligheder tilgængelige, hvor disse evner kan udnyttes viist. 

Hvis du vil vide mere

Du kan læse mere om DDoS-angreb i min bog ”Bliv sikker på nettet”:

Side 40-44: Zombier i botnet
Side 245-248: DoS og DDoS-angreb - Overbelastningsangreb
Side 247-248: Alle kan bestille et hacker-angreb på nettet

Med venlig hilsen

Lars Laursen, forfatter til bogen ”Bliv sikker på nettet”. Bogen kan bl.a. købes her.

Kilder: Europols pressemeddelelse (engelsk) og Jyllands-Posten (dansk).

1 kommentar: