Ukrainische Hacker

Sonntag Abend, der Weltspiegel läuft. Guck ich immer gerne, denn so sieht man als klimagewandelter, blasser Westeuropäer auch einmal die Sonne. Ich hatte gerade herzhaft von meinem Rollmopsbrötchen abgebissen, als ein Beitrag über die Ukraine begann. Titel: Ukraine: Cyberkrieg.

Zuerst dachte ich, cool. Da hat endlich mal jemand begriffen, dass die Ukraine wohl das kaputteste und mafiöseste Land dieser Erde ist, denn, seit dem ich Server im Internet betreibe, steht die Ukraine bei der Zahl der Attacken gegen meine Ausrüstung ungeschlagen auf Platz 1. Natürlich sind sie damit nicht alleine, Platz 2 belegt China, Platz 3 Russland (Platz 2 und 3 wechseln schon mal). Dahinter tummeln sich dann weitere moralische Schwellenländer, wie Rumänien, Bulgarien, die USA, Nord- und Südkorea. Auch Brasilien und Polen sind ausgesprochen gut vertreten.

Als ich dem Beitrag weiter folgte, musste ich spontan den Rollmops über die Auslegeware spucken. Ein lieb guckender ukrainischer Elektrizitätswerksmitarbeiter erzählt, wie in Kiew plötzlich die Lichter ausgingen, weil schändliche russische Hacker deren marode Infrastruktur attackiert hatten. Zwei Stunden Stromausfall. Im Hintergrund war ein Abreißkalender zu sehen. Es musste also VOR diesem Datum geschehen sein.

Vergessen war das Rollmopsbrötchen, vergessen war der gewohnt miese Saarland-Tatort. Mein nächster Gang führte zu den Server-Logfiles meines kurz vor Jahreswechsel frisch aufgesetzten Servers. Ich wusste, dass bereits wenige Tage nach Inbetriebnahme ein Großangriff aus der (armen, gebeutelten) Ukraine auf ihn nieder ging, und seit dem pausenlos auf meinen Mail-Server einhämmert. Und tatsächlich, am letzten Dezemberwochenende setzte die Attacke für 2 Stunden und 10 Minuten aus. Wahnsinn, man entdeckt heutzutage Weltgeschichte in Server Logfiles.

Um zu erklären, was geschieht, muss es leider etwas technisch werden. Warum ist mein Mail-Server für ukrainische (und andere) Schwerkriminelle so begehrenswert? Warum mieten die sich nicht selber einen? Für 7 Euro/Monat wären sie dabei. Wollen die aber nicht. Sie wollen meinen Mail-Server, um in meinem Namen und unter meiner IP ihre Verbrechen begehen zu können. Dies könnte Kommentar-Spam sein, abgesondert von sogenannten Social-Bots, die wohl auch Donald Duck Trump an die Macht gehievt haben, oder ganz banaler Email-Spam, der immer noch ein riesiges Geschäft ist. Kreditkartenbetrug, Poker, Handel mit gefälschten Medikamenten oder getürkte Online-Shops passen auch gut zu seriösen, deutschen IP Adressen. Würden die Angreifer dafür ihren eigenen Server nutzen, so wäre er wohl binnen Minuten auf jeder Spam-Blocklist der Erde vermerkt, und damit lahm gelegt.

Seit dem 25.12.2016, 16:32 versucht ein automatischer Prozess, sich auf meinem Mail-Server anzumelden. Auf dem habe ich natürlich einige Fußangeln ausgelegt, die einem Angreifer schnell den Spaß verderben sollen. So triggere ich z.B. auf eine unnatürlich hohe Anzahl an Login-Versuchen (Rate-Limit), und ich schicke die anklopfende IP in die Wüste, wenn es eine bestimmte Anzahl Fehlversuche beim Anmelden gegeben hat. Fällt diese IP dann wiederholt unangenehm auf, so verbanne ich sie für lange Zeit ins Off. Dies alles geschieht automatisch und ohne mein Zutun.

Und tatsächlich, am Anfang gab es bis zu 20 erfolglose Login-Versuche pro Minute von der gleichen ukrainischen IP, die kurz darauf automatisch blockiert wurde. Die meisten Angreifer würden jetzt einfach weiter ziehen, um sich einen weniger geschützten Server zu suchen (und davon gibt es Tausende). Doch die digitalen Besucher aus Kiev geben nicht auf. Sie variieren (mit neuer, frischer IP) die Anzahl der Login-Versuche pro Minute, und werden nach Kurzem erneut geblockt. Also wird die 3. frische IP Adresse geopfert, und so weiter, und so weiter. Auf diese Weise finden sie nach n-Versuchen heraus, wie das Rate-Limit meines Servers eingestellt ist. Seit diesem Moment attackieren sie meinen Server mit stetig wechselnder IP mit exakt diesem Rate-Limit. Vier Angriffe pro Minute. Heute ist der 30.01.2017. 35 Tage seit dem Start des Angriffs, also bis heute ca. 201.600 Versuche, eine funktionierende Kombination aus Benutzernamen und Password zu finden. Abzüglich den zwei segensreichen Stunden des Ukrainischen Stromausfalls, versteht sich. „Meine“ Angreifer verfügen natürlich nicht über 201.600 unterschiedliche IP Adressen, aber sie haben deutlich mehr, als üblich. In diesem konkreten Fall verfügen sie über 2 komplette Adress-Pools, nämlich 91.200.12.0/24 und 91.200.13.0/24 – also insgesamt 2x 254 individuelle IP Adressen. Zum Vergleich: Ihr habt eine, und die ist vielleicht sogar noch „minderwertig“, da nicht statisch.

Jetzt fragt man sich, wer hat so viele statische IP Adressen? Der kleine, großflächig tätowierte ehemalige Traktorist, der von der ukrainischen Arbeitsagentur zum Kleinkriminellen umgeschult wurde, und jetzt über Nacht reich werden möchte, ohne sich durch Arbeit zu inkommodieren? Wohl kaum.
Ich denke, über solch große Pools dürfte die Mafia verfügen, und der Ukrainische Geheimdienst – also möglicherweise der gleiche Verein. Ich bewundere die Inbrunst und den Einsatz, mit der sie versuchen, meinen Server zu penetrieren.

Man beachte, ich betreibe ein popeliges, privates Blog (über Katzen, Schminktipps, Bulimie und Weltschmerz), und keinesfalls Fort Knox, eine Bank oder einen Server des Pentagons. Das, was ich hier schildere, passiert täglich millionenfach. Und in der Pole Position des übelsten Rattenpacks steht genau die Ukraine, für welche sich gerade die EU krumm macht.

Jede der seitens der Ukrainer eingesetzten IP Adressen steht seit Ewigkeiten in allen Blocklisten dieser Erde. Man kann also davon ausgehen, dass nicht nur deren Abuse-Abteilung über schändliches Treiben informiert wurde, sondern längst auch die Ukrainische Regierung. Dieses Geschäftsmodell scheint dort jedoch Staatsdoktrin – also gewünscht.

Die Nutzlast meines Servers lag bei etwa 1:200. Also 1 legitimer Zugriff – z.B. durch Dich – gegen 200 illegitime, durch die Arschlöcher dieser Welt, Email- und Picture-Harvester und weitere automatische Prozesse. Anders ausgedrückt fressen diese meine Server-Ressourcen, die dann den willkommenen Besuchern fehlen. Das konnte natürlich nicht so bleiben.

Seit gestern ist mein Webserver für (derzeit) 7 Länder dieser Erde nicht mehr erreichbar, mein Mail-Server für 9. Man nennt dies Geoblocking. Für technisch Interessierte: Man kann dies über Network Routing (sogenanntes Blackhole– oder Null-Routing) erreichen, oder über eine Firewall. Ersteres ist attraktiver, da der Server so gut wie keine Last mehr erfährt. Durch diese Entscheidung, die mir nicht leicht gefallen ist, liegt meine Nutzlast jetzt bei 1:2. What a change! Drei weitere Länder, darunter Polen und die Türkei, bleiben unter besonderer Beobachtung.

Natürlich schließe ich jetzt auch legitime Benutzer aus diesen Ländern aus. Shit happens. Bedankt euch bei eurer korrupten Regierung, oder bei euren hackenden Landsleuten.

Heute noch wird sich unser aller Bundesmutti vom täglichem Kampf mit der Digitalisierung unserer Wirtschaft frei machen, um Herrn Poroschenko zu treffen, den ukrainischen Präsidenten. Voraussichtlich wird sie neben einem scharf gebügelten Hosenanzug auch ihr kleines Vaselinetöpfchen dabei haben. Wenn sie ihm dann weitere EU Milliarden in den Südpol einführt, dann zwickt das nicht so doll. Das sollte es aber, denn Herr Poroschenko führt, ähnlich wie die Russen und die US-Amerikaner, längst einen Cyberkrieg gegen die EU. Mit unserem Zaster kaufen die sich bessere Computer, um uns noch gekonnter attackieren zu können.

Glückauf,

Demokrit (dem jegliches Mitleid mit der Ukraine als Opfer eines Cyberwars abgeht)

  • Das kann ich nur bestätigen. Auf unserem Server führen derzeit die Russen. Ukraine auf Platz 2. Dann China, USA, Türkei, Taiwan, Brasilien, Rumänien, Indien, Italien und Ungarn. Da es ein Unternehmensserver ist, scheint man bei uns mehr an Daten interessiert zu sein. Viele Angriffe auf den SQL Server, besonders aus den USA und Russland. Dummerweise können wir kein Geoblocking einsetzen, ohne Kunden zu verlieren.

    Danke, dass mal jemand Ross und Reiter nennt!

  • Deutschland steht bei Spamhaus derzeit auf Platz 10 der World’s Worst Spam Enabling Countries. Müsste man eigentlich auch blockieren 🙂

Schreibe einen Kommentar

Erforderliche Felder sind mit * markiert.

Du kannst diese HTML Tags und Attribute benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>