Am 7. Oktober 2023 um 6:30 Uhr Ortszeit hat die Hamas Städte in Israel angegriffen und Tausende Raketen auf dicht besiedelte Gebiete im Süden und Zentrum des Landes abgefeuert, darunter Tel Aviv und Jerusalem. Dadurch wurde Luftalarm ausgelöst, um der Zivilbevölkerung die Chance zu geben, sich in Sicherheit zu bringen.
Rund zwölf Minuten später wurden DDoS-Angriffe gegen Websites, auf denen Zivilisten wichtige Informationen und Warnungen zu Raketenangriffen finden, von Cloudflare-Systemen automatisch erkannt und abgewehrt. Der erste dieser Cyberangriffe gipfelte bei 100.000 Anfragen pro Sekunde und dauerte zehn Minuten. 45 Minuten später kam es zu einem zweiten, deutlich größeren Angriff, der seinen Höhepunkt bei 1 Millionen Anfragen pro Sekunde erreichteund sich über sechs Minuten erstreckte. In den nächsten Stunden verzeichneten diese Websites weitere kleinere DDoS-Attacken.
Mehr als DDoS-Angriffe
Zahlreiche israelische Websites und Mobilgeräte-Apps wurden von diversen pro-palästinensischen Hacktivisten-Gruppen ins Visier genommen. Eine von ihnen, AnonGhost, hat laut Cybernews eine Schwachstelle in der App „Red Alert: Israel“ ausgenutzt, die israelische Zivilisten vor bevorstehenden Raketeneinschlägen warnt. Die Sicherheitslücke erlaubte es den Angreifern, Anfragen abzufangen, Server und API offenzulegen und falsche Warnmeldungen an einige Nutzer der App zu senden. Dazu gehörte eine Nachricht, dass eine Atombombe im Anflug sei. AnonGhost behauptet auch, mehrere weitere solcher Apps zur Warnung vor Raketenangriffen angegriffen zu haben.
Am 14. Oktober haben wir die Ergebnisse einer Untersuchung unseres Bedrohungseinsatzteams Cloudforce One öffentlich gemacht. Dabei wurden bösartige Anwendungen für Android-Mobilgeräte identifiziert, die sich als die legitime „RedAlert – Rocket Alerts“-App ausgegeben hatten. Sie verschafften sich Zugang zu sensiblen Nutzerdaten wie deren Handy-Kontaktlisten, SMS-Nachrichten, Anruflisten, installierten Anwendungen, Informationen zu dem Mobiltelefon selbst und zur SIM-Karte. Technische Einzelheiten zu unserer Untersuchung finden Sie hier.
Cloudflare hat außerdem eine israelische Website identifiziert, die von AnonGhost teilweise verunstaltet wurde. Der Seitenbetreiber hat Cloudflare bislang nicht genutzt, wir haben der betreffenden Organisation aber unsere Unterstützung angeboten.
DDoS-Angriffe werden beständig fortgesetzt
In den Tagen nach dem Angriff vom 7. Oktober standen auch israelische Websites durch DDoS-Attacken stark unter Beschuss. Wir haben vielen von ihnen dabei geholfen, sich zu schützen.
Seit dem Angriff vom 7. Oktober 2023 sind vor allem Internetauftritte von Zeitungen und anderen Medien zum Ziel von DDoS-Angriffen geworden: Auf diese entfielen 56 % aller Attacken auf israelische Websites. Die gleichen Tendenzen waren bereits beim Überfall Russlands auf die Ukraine zu beobachten: Auch damals waren Websites ukrainischer Medien und Rundfunkanstalten als Angriffsziel ausgesprochen beliebt. Es hat sich gezeigt, dass mit physischen Kampfhandlungen oft Cyberangriffe auf Websites einhergehen, von denen Zivilisten lebenswichtige Informationen beziehen.
Der am zweithäufigsten angegriffene Sektor in Israel war die Softwarebranche. Fast 34 % aller DDoS-Attacken richteten sich gegen Unternehmen aus diesem Segment. An dritter Stelle folgen Banken, Finanzdienstleister und Versicherungen. Websites von Behörden wurden am vierthäufigsten Ziel von Angriffen.
Es ist auch erkennbar, dass Websites von Zeitungen und anderen Medien in Israel direkt nach dem Angriff vom 7. Oktober ins Fadenkreuz geraten sind.
Seit dem 1. Oktober 2023 wurden von Cloudflare mehr als 5 Milliarden HTTP-Anfragen, die Teil von DDoS-Angriffen waren, automatisch erkannt und abgewehrt. Vor dem 7. Oktober wurden dabei so gut wie keine HTTP-DDoS-Angriffsanfragen an israelische Websites verzeichnet, die Cloudflare nutzen.
Am Tag des Überfalls der Hamas erhöhte sich jedoch der Anteil des DDoS-Angriffs-Traffics am Datenverkehr. Fast jede hundertste Anfrage an israelische Websites, die Cloudflare einsetzen, war Teil einer HTTP-DDoS-Attacke. Am 8. Oktober vervierfachte sich diese Zahl.
Cyberangriffe auf palästinensische Websites
Ab dem 1. Oktober wurden über 454 Millionen an palästinensische Websites, die Cloudflare verwenden, gerichtete HTTP-DDoS-Angriffsanfragen von Cloudflare automatisch erkannt und abgewehrt. Das ist nur knapp ein Zehntel der Menge an Angriffsanfragen, die sich an von Cloudflare geschützte israelische Websites gerichtet haben. Allerdings entspricht dieser Wert einem größeren Anteil am gesamten für palästinensische Websites, die Cloudflare nutzen, bestimmten Traffic.
In den Tagen vor dem Hamas-Angriff haben wir keine DDoS-Attacken auf palästinensische Websites verzeichnet, die Cloudflare einsetzen. Das hat sich am 7. Oktober geändert: An diesem Tag waren über 46 % des gesamten an palästinensische Websites, die Cloudflare verwenden, gerichteten Datenverkehrs Teil von HTTP-DDoS-Attacken.
Dieser Anteil stieg dann am 9. Oktober auf fast 60 % an. Von zehn HTTP-Anfragen, die für palästinensische, Cloudflare einsetzende Websites bestimmt waren, gingen jeweils knapp sechs auf DDoS-Angriffe zurück.
Diese Angriffe lassen sich auch an den Spitzen ablesen, die in der folgenden Grafik nach dem Überfall der Hamas auftreten.
Drei palästinensische Branchen wurden in den letzten Wochen angegriffen. Die absolute Mehrheit der HTTP-DDoS-Attacken (knapp 76 %) zielte auf Websites von Banken ab. Auf Rang zwei folgte der Internetsektor, der 24 % aller DDoS-Attacken auf sich zog. Ein weiterer, kleiner Teil richtete sich gegen Websites aus dem Bereich Medienproduktion.
Anwendungen schützen und DDoS-Angriffe verhindern
Wie uns die letzten Jahre gelehrt haben, werden militärische Auseinandersetzungen immer von Cyberangriffen begleitet. Wir haben deshalb einige Empfehlungen zur Optimierung Ihrer DDoS-Angriffsabwehr zusammengestellt. Sie können auch der detaillierten Anleitung unserer automatischen Assistenten folgen, um Ihre Anwendungen zu schützen und DDoS-Angriffe zu verhindern.
Im Radar-Dashboard haben Sie die Möglichkeit, sich die Erkenntnisse und Trends genauer anzusehen, die sich aus dem Traffic und den Cyberangriffen in Israel und Palästina ableiten lassen. In einem weiteren Blogbeitrag erfahren Sie mehr über Trends bezüglich Internet-Datenverkehr und Cyberattacken nach dem Angriff vom 7. Oktober.
Sie werden angegriffen oder benötigen zusätzlichen Schutz? Klicken Sie hier, um Hilfe zu erhalten.
Zum Schutz vor bösartigen Mobilgeräte-Apps hier klicken
Ein Hinweis zu unserer Methodik
Wir gewinnen unsere Erkenntnisse aus dem Datenverkehr und den Angriffen, die wir bei Websites verzeichnen, die Cloudflare nutzen – sofern keine anderen Angaben gemacht oder auf eine externe Quelle verwiesen wird. Weitere Informationen zu unserer Methodik finden Sie hier.