Das Botnetz, das hinter dem größten HTTPS Distributed Denial-of-Service (DDoS)-Angriff im Juni 2022 stand, wurde mit einer Reihe von Angriffen auf fast 1.000 Cloudflare-Kunden in Verbindung gebracht.
Das leistungsstarke Botnetz Mantis wird von dem Web-Performance- und Sicherheitsunternehmen für mehr als 3.000 HTTP-DDoS-Angriffe gegen seine Nutzer verantwortlich gemacht.
Zu den am häufigsten angegriffenen Branchen gehören Internet und Telekommunikation, Medien, Spiele, Finanzen, Unternehmen und Shopping. Über 20 % der Angriffe richteten sich gegen Unternehmen in den USA, gefolgt von Russland, der Türkei, Frankreich, Polen, der Ukraine, Großbritannien, Deutschland, den Niederlanden und Kanada.
Letzten Monat gab das Unternehmen bekannt, dass es einen rekordverdächtigen DDoS-Angriff auf eine ungenannte Kunden-Website mit seinem Free-Tarif abgewehrt hat, der 26 Millionen Anfragen pro Sekunde (RPS) erreichte, wobei jeder Knotenpunkt etwa 5.200 RPS erzeugte.
Der Tsunami von Junk-Traffic dauerte weniger als 30 Sekunden und generierte mehr als 212 Millionen HTTPS-Anfragen aus mehr als 1.500 Netzwerken in 121 Ländern, allen voran Indonesien, die USA, Brasilien, Russland und Indien.
„Das Mantis-Botnetz betreibt eine kleine Flotte von ca. 5.000 Bots, kann aber mit ihnen eine gewaltige Kraft erzeugen – verantwortlich für die größten HTTP-DDoS-Angriffe, die wir je beobachtet haben“, sagte Omer Yoachimik von Cloudflare.
Mantis zeichnet sich aus mehreren Gründen aus. Der erste ist seine Fähigkeit, HTTPS-DDoS-Angriffe auszuführen, die aufgrund der für den Aufbau einer sicheren TLS-verschlüsselten Verbindung erforderlichen Rechenressourcen sehr teuer sind.
Zweitens nutzt Mantis im Gegensatz zu anderen traditionellen Botnetzen, die sich auf IoT-Geräte wie DVRs und Router stützen, gekaperte virtuelle Maschinen und leistungsstarke Server und ist damit mit mehr Ressourcen ausgestattet.
Diese volumetrischen Angriffe zielen darauf ab, mehr Datenverkehr zu erzeugen, als das Ziel verarbeiten kann, so dass das Opfer seine Ressourcen erschöpft. Während die Angreifer traditionell UDP für Amplifikationsangriffe nutzen, gibt es eine Verlagerung zu neueren, von TCP reflektierten Amplifikationsvektoren, die Middleboxen nutzen.
Microsoft hat im Mai 2022 bekannt gegeben, dass es im vergangenen Jahr etwa 175.000 UDP-Reflected-Amplification-Angriffe auf seine Azure-Infrastruktur verhindert hat. Außerdem wurde ein TCP Reflected Amplification-Angriff auf eine Azure-Ressource in Asien beobachtet, der 30 Millionen Pakete pro Sekunde (pps) erreichte und 15 Minuten dauerte.
„Reflected-Amplification-Angriffe sind nicht mehr wegzudenken und stellen eine ernsthafte Herausforderung für die Internetgemeinschaft dar“, stellte das Azure Networking Team fest. „Sie entwickeln sich ständig weiter und nutzen neue Schwachstellen in Protokollen und Software-Implementierungen aus, um herkömmliche Gegenmaßnahmen zu umgehen.