10.10.2024 - Im September 2024 verzeichnete das Bundesamt für Cybersicherheit (BACS) vermehrt DDoS-Angriffe, welche von einem Botnetz namens «Gorilla» ausgeführt werden. Dabei handelt es sich um einen auf Telegram angebotenen «DDoS-as-a-service»-Dienst, welcher für entsprechendes Entgelt gemietet werden kann. Da ein Betreiber einer kritischen Infrastruktur in der Schweiz betroffen war, hat das BACS die technischen Erkenntnisse in einem kurzen Bericht veröffentlicht.
Das BACS erhielt im vergangenen September von einem Betreiber einer kritischen Infrastruktur die Meldung zu einem Überlastungs-Angriff (ein sogenannter «DDoS»-Angriff) gegen dessen Infrastruktur. Die zusammen mit der kritischen Infrastruktur durchgeführte technische Analyse hat gezeigt, dass der DDoS-Angriff mutmasslich von einem «DDoS-as-a-service»-Dienst ausgeführt wurde, welcher unter anderem auf dem Kanal von Telegram unter dem Namen «Gorilla Services» angeboten wird. Das BACS konnte die von den Angreifern verwendete Infrastruktur identifizieren und geeignete Abwehrmassnahmen einleiten. Zudem konnte der Telegram-Kanal von «Gorilla Services» mittels einer an Telegram abgesetzten Beschwerde stillgelegt werden.
Der technische Bericht beleuchtet die vom Botnet «Gorilla» verwendete Infrastruktur sowie die von den Angreifern verwendete Schadsoftware (sogenannte «Malware»). Dabei handelt es sich um eine Malware, die Code-ähnlichkeiten zur Malware «Mirai» aufweist und Geräte mit einem Linux/Unix Betriebssystem infiziert. Die Malware nimmt von einem zentralen Botnetz Command & Control-Server Angriffsbefehle entgegen und führt diese entsprechend aus.
Bei den DDoS-Angriffen gegen Schweizer Infrastrukturen handelte es sich um DNS-Amplifikations-Angriffe. Bei diesen werden unter Missbrauch des Domain Name Systems (DNS) extrem große Datenströme auf die Infrastruktur des Opfers gelenkt und diese dadurch überlastet. Während die Angriffe zu kurzzeitigen Unterbrüchen von einigen Diensten führten, war die Sicherheit und Integrität von Daten zu keiner Zeit in Gefahr.
Technischer Analysebericht zum Botnetz «Gorilla» (PDF, 1 MB, 10.10.2024)Verfügbar in Englisch.
Technische Indikatoren zu Gorilla Bot:
https://github.com/govcert-ch/CTI/tree/main/20241010_GorillaBot/
Letzte Änderung 10.10.2024
