Mit bis zu 700 Gigabit pro Sekunde lief in den vergangenen Tagen eine Distributed Denial of Service-Attacke auf österreichische Server. Es handelt sich laut dem Kärntner IT-Dienstleister Anexia damit um den bisher größten Cyberangriff auf heimische IT-Systeme. Gegolten hat er einem Kunden des Unternehmens, einem "großen internationalen Serviceprovider", der eigene Server in Österreich betreibt, erklärt Firmenchef Alexander Windbichler gegenüber dem STANDARD.

Drei Tage Daten-Bombardement

Erfasst wurde der erste Angriff am Donnerstag (1. März), als auch das US-Codehosting-Portal Github unter massiven Datenbeschuss kam. Es dauerte laut Anexia einige Minuten, ehe die eigenen Systeme die Traffic-Last entsprechend verteilen konnten. Folgeangriffe, die in hoher Intensität noch bis zum Samstag gemessen wurden, seien "binnen einer Sekunde" abgewehrt worden. Die Angriffe würden weiter laufen, aber mittlerweile mit deutlich verringerter Intensität

Das Unternehmen verfügt über ein Infrastruktursystem mit dem Namen "Backbone Europe", das über eine Bandbreite von einem Terabit verfügt. Das Traffic-Management bei Cyberangriffen laufe mit einem selbst entwickelten Machine-Learning-Algorithmus, der wie ein "vollautomatisiertes Bundesheer" vorstellbar sei. Das System soll auch selbständig von neuen Angriffen lernen.

"Memcached"-Leck erlaubt billige Angriffe

Wer hinter dem Angriff steckt, ist völlig unklar, zumal die Datenflut von Servern rund um die Welt – inklusive Österreich – kam. Es ist davon auszugehen, dass die Verantwortlichen im Dunklen bleiben werden. Ausgenutzt wurde jedenfalls die sogenannte "Memcached"-Lücke. Dabei werden entsprechende Caching-Server dank einer Schwachstelle als eine Art "Verstärker" eingesetzt. Viele Server dürften also ohne Wissen ihrer Betreiber Teil der Angriffe gewesen sein.

Das Leck ermöglicht es derzeit, im Darknet günstig Attacken einzukaufen. Schon im Gegenwert von 50 Euro ließen sich DDoS-Kapazitäten buchen, mit denen dank des "Memcached"-Bugs größere Server in die Knie gezwungen werden können. Die Schwachstelle bleibt eine Gefahr, solange viele Caching-Server von den Betreibern noch nicht per Aktualisierung abgesichert wurden. (gpi, 05.03.2018)