Fortsetzung von “Kirgisistan unter massiver DDoS Attacke”. Am 18. Januar 2009 begann ein großangelegter DDoS Angriff gegen kirgisische Internet Provider (ISP). Wichtige nationale Webserver/Webseiten sind seit dem nur noch periodisch verfügbar.

Russische Server wurden bei einer IP-Analyse von Hostexploit, IntelFusion und InfoWar-Monitor als Ausgangspunkt der Angriffe gegen Kirgisistan identifiziert.

Internet Routing während der Attacke (Ausgangsserver rot hinterlegt)

Die meisten Angriffe konnten auf Server in St. Petersburg und Moskau zurückverfolgt werden bzw. nahmen dort ihren Ursprung. So befinden sich die Angreifer unter anderem in den folgenden Autonomen Netzen (AS) wieder:

AS Nummern und deren Zugehörigkeit

Eine Analyse der Routing-Wege zwischen den autonomen Netzen in der Zeit vom 18. Januar bis zum 25. Januar zeigt folgendes Bild. Dabei wurde konkret der Angriff auf den Server Asiainfo (AS8511) untersucht. Die Analyse erfolgte über eine Auswertung des Border Gateway Protokolls (BGP).

BGP (Border Gate Protocol) Internet traffic routing

Über die Hintergründe der Angriffe wird weiter spekuliert. In der Analyse von Hostexploit, IntelFusion und InfoWar-Monitor gelangt man zur Zeit zu folgendem Schluß:

Es scheint sich um eine bezahlte Cyber-Operation zu handeln, ausgehend von der Regierung um Bakijew um den Informationszugang der politischen Opposition zu kontrollieren. Die wahrscheinlichen Täter sind russische Hacker mit durchschnittlichen Fähigkeiten die regelmäßig in cyberkriminellen Aktivitäten verwickelt sind.

Es gibt keine Beweise das die russische Regierung direkt involviert ist, obwohl Moskau direkte Kontrolle über die Server von JSC und Golden Telecom hat. Bis zum heutigen Datum hat die russische Regierung keine Schritte unternommen um den Zugriff der Hacker auf obige Server zu unterbinden.

Es bleibt also weiterhin spannend…