Massive DDoS-Angriffe haben sich zu einer der größten Bedrohungen für große Plattformen wie X entwickelt, die trotz ihrer technologischen Ressourcen verwundbar bleiben. Der koordinierte Angriff vom März 2025 legte die gesamte Infrastruktur für mehrere Stunden lahm und offenbarte, wie selbst Tech-Giganten durch gezielte Überlastungsattacken zum Stillstand gebracht werden können.
Am 10. März 2025 wurde die Social-Media-Plattform X (ehemals Twitter) von einer Reihe koordinierter DDoS-Angriffe (Distributed Denial of Service) getroffen, die die Plattform für mehrere Stunden in die Knie zwangen. Nutzerinnen und Nutzer weltweit berichteten von erheblichen Problemen, die von kompletten Ausfällen bis hin zu nicht ladenden Seiten reichten. Elon Musk sprach zunächst von einem „massiven Cyberangriff“, der seinen Ursprung in der Ukraine habe. Sicherheitsexperten widersprechen dem jedoch und verweisen auf unzureichende Schutzmaßnahmen des Unternehmens.
Zweifel an Musks Ukraine-Theorie
DDoS-Attacken nutzen oft weltweit verteilte Botnetze, um ihre Angriffe durchzuführen. Das macht es schwierig, eindeutige Täter zu identifizieren – ein Problem, auf das auch der aktuelle European Cyber Report von Link11 hinweist. DDoS-Angriffe verlagern sich zunehmend auf hochgradig verteilte Netzwerke, um Verschleierungstechniken zu nutzen und eine geografische Zuordnung zu erschweren.
Dennoch vermuten einige Cybersicherheitsexperten, dass staatliche Akteure involviert sein könnten, da DDoS-Angriffe zunehmend als Mittel der geopolitischen Cyberkriegsführung eingesetzt werden.
Wer hat sich bisher zu dem Angriff geäußert?
Verschiedene Hacktivistengruppen haben sich zu dem Angriff bekannt. Als eine der ersten übernahm das Dark Storm Team, eine pro-palästinensische Cybergruppe, die Verantwortung für den Angriff. Auch das Hackerkollektiv „Anonymous“ hat sich zu dem Angriff bekannt.
Die relativ neue Gruppe DieNet, die gleichzeitig DDoS-Angriffe auf mehrere Ziele in den USA, darunter ein Weingut von Donald Trump, durchführte, trat ebenfalls in Erscheinung. DieNet scheint ebenfalls eine pro-palästinensische Agenda zu verfolgen, ihre tatsächliche Rolle bei dem Angriff bleibt jedoch unklar.
Die Rolle des Botnetzes „Eleven11bot“
In jüngster Zeit sind beeindruckend mächtige Botnetze aufgetaucht, die DDoS-Angriffe in bisher unbekanntem Ausmaß durchführen. Ein Beispiel hierfür wird in einem Artikel von Ars Technica beschrieben, in dem das Botnetz „Eleven11bot“ vorgestellt wird, das durch seine außergewöhnliche Kapazität und Skalierbarkeit auffällt.
Ein Botnetz ist ein Netzwerk kompromittierter Geräte, die als „Zombies“ agieren und von Cyberkriminellen ferngesteuert werden. Diese Netzwerke werden für verschiedene Arten von Angriffen verwendet, wobei DDoS-Attacken besonders häufig sind. Dabei wird ein Zielsystem mit massiven Datenmengen überflutet, so dass es für legitime Nutzer nicht mehr erreichbar ist.
Das Botnetz „Eleven11bot“ zeichnet sich durch einige bemerkenswerte Eigenschaften aus, die seine Fähigkeit erklären, riesige Datenströme zu erzeugen:
- Größe: Schätzungen zufolge umfasst Eleven11bot mehr als 30.000 infizierte Hosts. Diese Zahl ist zwar noch nicht endgültig bestätigt, verdeutlicht aber die beachtliche Größe des Netzwerks. Auch wenn es Botnetze gibt, die noch größer sind, ist diese Zahl immer noch sehr hoch.
- Gerätesicherheit: Experten vermuten, dass die meisten kompromittierten Geräte auf schlecht gesicherte Webcams und Überwachungskameras zurückzuführen sind. Diese Geräte sind aufgrund ihrer geringen Sicherheitsvorkehrungen besonders anfällig für Angriffe und haben die Fähigkeit, eine große Anzahl von Datenpaketen pro Sekunde zu versenden.
- Geografische Verteilung: Das Botnetz ist weltweit in vielen verschiedenen Netzwerken und Ländern aktiv. Diese weite Verbreitung erschwert es, einzelne Bots zu isolieren und zu identifizieren. Zudem können die Angreifer ihre Attacken auf verschiedene Internet-Backbones ausdehnen, was die Lokalisierung der Angriffsquelle zusätzlich erschwert.
Dabei handelt es sich um eine Variante des berüchtigten Mirai-Botnetzes, das gezielt eine Schwachstelle in digitalen Videoaufzeichnungssystemen von TVT-NVMS 9000 ausnutzt. Der aktuelle European Cyber Report 2025 von Link11 zeigt, dass solche spezialisierten Botnetze immer leistungsfähiger werden, insbesondere durch die Integration neuer Exploits. Der bisher größte im Link11-Netzwerk gemessene DDoS-Angriff erreichte im Jahr 2024 eine Spitzenbandbreite von 1,4 Tbit/s. Auch der „Eleven11bot“ ist für seine großen Datenmengen bekannt.
Die zunehmende Größe und Komplexität solcher Botnetze stellt eine große Herausforderung für die Netzwerksicherheit dar. Um diesen Bedrohungen zu begegnen, müssen die Abwehrmechanismen laufend angepasst und verbessert werden, um die Infrastruktur vor solch massiven Angriffen zu schützen.
Technische Schwächen von X
Der DDoS-Angriff auf X könnte nicht nur durch seine außergewöhnliche Skalierbarkeit und technische Raffinesse beeindruckt haben, sondern auch durch die gezielte Ausnutzung technischer Schwächen der Plattform. Einige Server von X waren offenbar nicht durch den DDoS-Schutz abgedeckt und somit direkt angreifbar. Angreifer könnten gezielt eine Carpet-Bombing-Strategie eingesetzt haben, bei der der Datenverkehr über viele IP-Adressen verteilt und mit variierenden Paketgrößen und Ports kombiniert wurde, um eine Erkennung zu erschweren.
Diese Art des Angriffs hätte nicht nur eine höhere Kapazität, sondern auch eine intelligente, auf das Opfer zugeschnittene Taktik erfordert. Laut Link11-Experten sind unzureichende DDoS-Abwehrmaßnahmen ein häufiges Problem, da moderne Angriffe innerhalb von Sekunden ihre volle Wirkung entfalten. Es wurden mehrere Angriffswellen registriert, bevor X entsprechende Gegenmaßnahmen ergriff und die Sicherheitslücken schloss.
Fazit
Der DDoS-Angriff auf X verdeutlicht die anhaltende Bedrohung durch groß angelegte Cyber-Angriffe. Mit Gruppen wie Dark Storm und DieNet sowie leistungsfähigen Botnetzen wie „Eleven11bot“ wächst die Bedrohung nicht nur für soziale Netzwerke und digitale Plattformen, sondern auch für Unternehmen und deren Webanwendungen.
Der Link11 European Cyber Report bestätigt, dass DDoS-Angriffe nicht nur häufiger, sondern auch raffinierter und schwieriger abzuwehren sind. Unternehmen müssen ihre Schutzmechanismen kontinuierlich anpassen, um Angriffe dieser Größenordnung in Zukunft besser abwehren zu können.
(lb/Link11)