DDoS-Attacken in der Schweiz: Was steckt dahinter?

Florian Bodoky

16.6.2023

Seit letzter Woche gibt es zahlreiche DDoS-Attacken auf Schweizer Firmen und Behörden. Wer steckt dahinter und warum passieren sie überhaupt?

Seit Anfang Juni kannst du fast täglich davon lesen: DDoS-Attacken. Zu den prominentesten Opfern gehören die SBB und die Bundesverwaltung. Aber auch zahlreiche andere Behörden nehmen die Hacker ins Visier. Seit dem 14. Juni hat die Intensität gar noch zugenommen. In einem Telegram-Channel nennt eine Gruppe namens NoName057(16) fast stündlich neue Ziele, die sie angegriffen hat (wie sie selbst behaupten). Manchmal verkündet sie aber auch, dass der Angriff «erfolgreich» war. Meist bedeutet «erfolgreich», dass die Zielwebsite down ist oder ein Dienst nicht mehr funktioniert.

Aktuell ist das zum Beispiel bei der Website der Stadt Zürich der Fall (Stand: 16. Juni, 14:02). Vor einigen Tagen erwischte es den Billett-Shop der SBB. Übrigens: Auch Digitec Galaxus AG befindet sich im Fadenkreuz. Darum konntest du Galaxus.ch am 15. Juni kurzzeitig nicht aufrufen. Wichtig ist aber auch: Nicht alle Meldungen, die NoName postet, sind auch wirklich bestätigt. Wenn du wissen möchtest, ob ein Webauftritt aktuell wirklich unerreichbar ist, kannst du bei zum Beispiel bei check-host.net die URL eingeben und eine Anfrage starten.

Wer ist NoName057(16)?

NoName057(16) ist laut eigenen Angaben eine prorussische Hackergruppe. Auf verschiedenen Telegram-Kanälen erklärt die Gruppe auch ihre Absichten und ihre Beweggründe.

Sie spricht dort auch Drohungen aus und erklärt, dass sie eine unabhängige Gruppe von Freiwilligen sei. Es gibt inzwischen auch einen Wikipedia-Artikel über sie. Diese weist aber noch Lücken und ungesicherte Informationen auf.

Warum macht die Gruppe das?

Auch das teilt NoName freimütig mit. Die Hacker führen diese Angriffe aus, um Russland im Krieg gegen die Ukraine zu unterstützen. Offenbar soll es möglichst alle Staaten treffen, die ihrer Meinung nach die Ukraine in diesem Konflikt unterstützen. Die Ziele befinden sich also nicht nur in der Schweiz, sondern auch in vielen EU-Mitgliedsstaaten wie Deutschland, Frankreich oder Italien.

In den vergangenen Tagen traf es die Schweiz besonders stark. Ein wahrscheinlicher Grund dafür ist der virtuelle Auftritt Wolodimir Selenskyjs im Bundeshaus. Der ukrainische Präsident hat sich am 15. Juni in einer Videobotschaft ans Schweizer Parlament gewandt und für die Unterstützung gedankt. Interessant: NoName ist offenbar sehr gut über die Vorgänge in der Schweizer Politik informiert. Nicht nur wussten sie um Selenskyjs Auftritt. Sie lobten auch die Parlamentsmitglieder der SVP, von denen die meisten der Ansprache Selenskyjs ferngeblieben sind.

Allerdings wird dies wohl nicht der einzige Grund für die Angriffe sein. Diese gab es auch schon vorher, beispielsweise am 12. Juni, der in Russland ein Nationalfeiertag ist. Ebenso wenig lässt sich sagen, ob die DDoS-Angriffe demnächst aufhören. Aktuell ist dies noch nicht der Fall.

Der Vollständigkeit halber sei an dieser Stelle erwähnt, dass es auch ukrainische Gruppen gibt, die solche Attacken verüben. Bisher nehmen diese ausschliesslich russische Systeme unter Beschuss, soviel man weiss.

Wer unterstützt sNoName057(16)?

Ich habe mir die NoName-Telegram-Channels angesehen. Beim Durchlesen der Posts (respektive der DeepL-Übersetzungen), erweckt es den Eindruck, als sei die Anhängerschaft primär russischsprachig. Aber nicht nur. Pauschale Rückschlüsse auf Gruppen sind also nicht möglich.

Interessant dabei: NoName bietet auch «DDoS-Unterricht» an. In einer Anzeige schreiben die Kriminellen dazu (aus dem Englischen übersetzt): «DDosia Project ist eine Hacker-Community, in der dir gezeigt und erklärt wird, wie man DoS-Angriffe verschiedener Klassen, z. B. L7, durchführt. L7 - Schädigung einer Webanwendung (Entnahme bestimmter Informationen aus der Datenbank, dem Speicher oder der Festplatte, allgemeine Erschöpfung der Serverressourcen). Komm herein, man wird dir alles beibringen…»

In dieser Anzeige wirbt NoName um weitere Unterstützer. Diese erhalten die nötige Software, um sich an den DDoS-Attacken zu beteiligen. Support-Willige byenötigen keine nennenswerten Vorkenntnisse: Nebst Online-Hilfe bietet NoName auch eine schriftliche Schritt-für-Schritt-Anleitung an. Besonders fleissige Helfer und Helferinnen sollen sogar bezahlt werden. Der Lohn fliesst in ein Krypto-Wallet, welches vorher angelegt wird.

Was ist eine DDoS-Attacke überhaupt?

«DDoS» steht für «Distributed Denial of Service». Dabei werden Ziele, beispielsweise Webauftritte, von möglichst vielen verschiedenen Orten aus mit Anfragen überflutet. Wenn die Anfrage-Flut gross genug ist, überlastet das den Server, der die angegriffene Website hostet. Er kann die gewöhnlichen Anfragen nicht mehr verarbeiten. Das heisst, die Seite wird langsamer oder ist gar nicht mehr erreichbar.

Eine mögliche Taktik für solch einen Angriff ist beispielsweise die Herstellung eines Bot-Netzes. Dabei wird versucht, Malware auf einen Computer oder ein Smartphone zu schleusen und das Gerät dann zu übernehmen. Ab da wird es ebenfalls für DDoS-Attacken genutzt.

Je mehr Computer zusammengeschaltet werden, desto effektiver ist auch die DDoS-Attacke. Genau das passiert auch, wenn Personen dem DDosia-Aufruf folgen und die angebotene Software auf ihrem Rechner installieren.
Generell sind DDoS-Attacken nicht gerade «die feine Hacking-Klinge». Allerdings können sie auf Laien einschüchternd wirken. Die Attackierenden können sich damit gut inszenieren und last but not least: Sie kosten die betroffenen Firmen Geld und Ressourcen.

Florian Bodoky

Editor

Florian.Bodoky@digitecgalaxus.ch

Seit ich herausgefunden habe, wie man bei der ISDN-Card beide Telefonkanäle für eine grössere Bandbreite aktivieren kann, bastle ich an digitalen Netzwerken herum. Seit ich sprechen kann, an analogen. Wahl-Winterthurer mit rotblauem Herzen.

Folgen

---

Security

Folge Themen und erhalte Updates zu deinen Interessen

Thema folgen

Diese Beiträge könnten dich auch interessieren