DDoS-Attacke auf sipgate am 23.10.2014 (Erste Welle)

Bastian
23.10.2014 165 7:07 min

Am 23.10.2014 und 24.10.2014 wurden wir Ziel mehrerer DDoS-Attacken in Verbindung mit einem Erpressungsversuch. Dies wurde mit hoher krimineller Energie durchgeführt und führte zu jeder Menge Arbeit in unserer Technik. Unsere Gegenmaßnahmen erweisen sich als erfolgreich. In diesem Blog-Post kommentierten wir die Auswirkungen auf unsere Kunden und die Geschehnisse im Hintergrund am 23.10.2014. Einen Tag später, am 24.10.2014 folgte die zweite Welle, die wir in einem anderen Blog-Post kommentieren.

Hinweis: Infos zur aktuellen Verfügbarkeit erhalten Sie wie immer unter status.sipgate.de.

Donnerstag, 23.10.2014 ab ca 17:00 Uhr

Kriminelle attackieren sipgate derzeit mit einer DDoS-Attacke (Distributed Denial of Service Attack). Deshalb kommt es derzeit zu Problemen bei der Erreichbarkeit unserer Webseiten und auch die Telefonie ist für einen großen Teil unserer Kunden beeinträchtigt.

Ihre Daten sind bei uns sicher und Sie werden sich bald wieder wie gewohnt in Ihren sipgate– oder simquadrat-Account einloggen können.

Die Angreifer versuchen, Geld von uns zu erpressen. Wir werden uns unter keinen Umständen erpressen lassen und arbeiten stattdessen gemeinsam mit unseren ISPs an einer Lösung, um die Attacken abzuwehren. Parallel dazu haben wir die Ermittlungsbehörden eingeschaltet.

Wir bitten um Entschuldigung für die Ihnen entstandenen Umstände.

Im Moment können wir leider nicht einschätzen, wie lange die Beeinträchtigungen bestehen bleiben werden. Weitere Infos erhalten Sie unter status.sipgate.de. Folgen Sie @sgde_status, um auf dem Laufenden zu bleiben.

Update 23.10.2014 18:30 Uhr:
Wir arbeiten derzeit hart daran, die Attacke durch Änderungen an unserer Infrastruktur abzuwenden. Diese Änderungen brauchen ein wenig Zeit, weshalb es gut sein kann, dass wir erst in ein paar Stunden wieder voll da sein werden. Uns bleibt leider nichts anderes übrig, als um Ihr Verständnis zu bitten. Bitte beachten Sie, dass bei dieser Attacke keinerlei Systeme kompromittiert wurden und auch keine Kundendaten verloren gingen.

Update 23.10.2014 18:44 Uhr:
Die Änderungen scheinen erste Erfolge gebracht zu haben. Die Webseiten unseres Geschäftskundenproduktes sipgate team und unseres Mobilfunkproduktes simquadrat sind jetzt wieder erreichbar. Die Telefonie erholt sich ebenfalls gerade.

Update 23.10.2014 18:52 Uhr:
Alle Webseiten sind derzeit wieder erreichbar. Die Telefonie ist für einen großen Teil unserer Kunden leider noch immer stark beeinträchtigt. Hier liegt deshalb auch zur Zeit der Hauptfokus unserer Bemühungen.

Update 23.10.2014 19:44 Uhr:
Nicht nur unsere Produkte in Deutschland – auch unsere VoIP-Angebote in Großbritannien sind von der DDoS Attacke betroffen.

Leider konnten wir die Telefonie noch immer nicht vollständig wieder zum Laufen bringen. Wir arbeiten weiterhin an technischen Abwehrmaßnahmen. Ich wiederhole mich, aber das ist uns wirklich wichtig: Die Sicherheit der Kundendaten war zu keinem Zeitpunkt in Gefahr. Mehr auch unter status.sipgate.de.

Update 23.10.2014 19:55 Uhr:
Wir sind mehrfach gefragt worden, warum wir nicht einfach das geforderte Lösegeld bezahlen.
Ganz einfach: Weil das ziemlich bekloppt wäre. Und aus Prinzip. Zur Erklärung: Die Verbindung aus DDoS-Attacke und Erpressungsversuch zeugt von einer hohen kriminellen Energie. Würden wir der Forderung nachgeben und das Lösegeld bezahlen, würden wir die Urheber der Attacke geradezu einladen, weitere Attacken gegen uns durchzuführen. Selbst wenn wir für das Angriffsprofil der ersten DDoS eine Verteidigung erarbeiteten, lohnte sich der Aufwand, immer neue Attacken mit anderen Angriffsprofilen vorzubereiten. Ergebnis: Noch mehr Störungen für unsere Kunden und Angreifer die immer mehr Geld fordern. Zudem könnten weitere Kriminelle auf den Zug aufspringen und versuchen, uns ebenfalls zu erpressen. Nein danke!

Update 23.10.2014 20:12 Uhr:
Die Telefonie erholt sich weiter. Auf twitter berichten immer mehr Kunden, dass sie wieder erreichbar sind. Das freut uns, aber leider gilt das noch immer nicht für wirklich alle Kunden. Wir arbeiten daran. Könnte ne lange Nacht werden.

Update 23.10.2014 21:18 Uhr:
Die DDoS-Attacke hält weiter an. Aktuelle Infos gibts auf status.sipgate.de. Zu den Nachfragen in den Kommentaren: Wir werden das ganze in der kommenden Woche in einem ausführlichen Blog-Artikel detailliert aufbereiten.

Update 23.10.2014 22:37 Uhr:
So, kurzer Statusbericht: Die DDoS-Attacke hält an. Aber: Unsere Webseiten sind ja schon länger wieder da. VoIP zeigt sich seit ungefähr einer halben Stunde eher stabil, immer mehr Geräte kommen zu uns durch und registrieren sich nach und nach wieder an unseren Servern. Das gilt für unser Geschäftskundenangebot genauso wie für unser Privatkundenangebot. Gut: Nicht mehr lang und wir sind in Sachen VoIP hoffentlich bald bei 100%.

Bleibt der Mobilfunk, der uns im Moment die größten Sorgen bereitet: Hier melden sich zwar ebenfalls immer mehr SIM Karten wieder an unserem HLR an, aber das wird noch dauern bis wieder alle Mobilfunk-Kunden telefonieren können und Daten nutzen können. Wir sind dran. Unsere Techniker danken übrigens für die aufmunternden Worte und grüßen aus dem Maschinenraum. Danke an alle, die uns die Daumen drücken…

Update 23.10.2014 23:10 Uhr:
VoIP kratzt an den 100%. Mobilfunk zeigt sich immer stabiler. Sieht so aus als kämen jetzt alle SIM-Karten von sipgate team und simquadrat nach und nach zum HLR durch. Falls es nicht sofort klappt, hilft ein Reboot des Handys.

Update 23.10.2014 23:15 Uhr:
VoIP und Mobilfunk scheinen voll da zu sein. Falls sich Ihr Handy jetzt noch nicht von selbst wieder eingebucht hat, bitte einmal in den Flugmodus & zurück… oder notfalls kurz einen Reboot des Mobiltelefons durchführen. Danke an alle, die hier im Blog und bei Twitter mitgefiebert haben – morgen gibts hier im Blog in alter Frische weitere Infos. Und nochmal ein dickes „Sorry“ an alle betroffenen Kunden. Das ist uns absolut bewusst, dass das so nicht noch einmal passieren sollte. Wir werden das genau analysieren und aufarbeiten.

Update 23.10.2014 23:48 Uhr:
Zu früh gefreut… VoIP ist leider doch noch nicht voll da. Wir bekommen gerade einige Meldungen von sipgate team-Kunden, dass ihre VoIP-Telefone noch nicht wieder den Weg zu uns finden. Wir sind weiter dran. Updates folgen auf status.sipgate.de.

Update 24.10.2014 01:22 Uhr:
So jetzt aber… auch VoIP sollte jetzt vollständig für sipgate team-Kunden wieder funktionieren. Unsere Admins können zwar noch keine vollständige Entwarnung geben, sind aber guter Hoffnung, dass nun erstmal alles stabil läuft. Auf den verdienten Schlaf müssen die Kollegen allerdings noch ein wenig warten, denn nun muss das Ganze noch ein wenig beobachtet werden.

Update 24.10.2014 01:38 Uhr:
Es gab noch vereinzelt Kunden, die von Problemen mit Datenverbindungen über sipgate Handys berichteten. Dieses Problem sollten nun ebenfalls erledigt sein.

Update 24.10.2014 01:58 Uhr:
Morgen werden wir die Ereignisse in Ruhe analysieren und Sie an dieser Stelle ausführlich über die Hintergründe informieren. Bis dahin hoffen wir auf eine ruhige Nacht und sagen noch einmal Sorry für die entstandenen Schmerzen.

Update 24.10.2014 07:10 Uhr:
Nachdem wir die erste Welle gestern nacht letztendlich erfolgreich abgewehrt haben, läuft derzeit eine zweite Welle mit geändertem Angriffsprofil. Updates wie immer unter status.sipgate.de.

Update 24.10.2014 09:59 Uhr:
In einem neuen Blog-Post kommentieren wir die Geschehnisse rund um die DDoS-Attacken am 24.10.2014.

Am Rande: Bitte stellen Sie sicher, dass Ihr Computer und die Computer Ihrer Familienmitglieder, Freunde und Kollegen nicht einer von den Millionen Rechnern da draußen ist, die zu irgendeinem Botnet gehören und solche großangelegten DDoS-Attacken erst möglich machen. Schwach gesicherte Rechner, auf denen veraltete Software läuft und auf denen lange Zeit keine Sicherheitsupdates eingespielt wurden, sind leichte Beute für Online-Kriminelle.

Samstag, 25.10.2014 ca. 13:14 Uhr
Die zahlreichen Kommentare und Nachfragen auf twitter, facebook und hier im Blog brachten uns auf die Idee, die gesamte Geschichte in einem längeren Artikel aufzubereiten und auf diese Weise möglichst viele Fragen zu beantworten.

Der Artikel ist am Ende doch ziemlich umfangreich geworden. Wir glauben, dass er auch für andere von DDoS-Attacken betroffene (und nicht nur für sipgate-Kunden) interessant sein dürfte. Deshalb haben wir ihn graphisch etwas aufbereitet und auf der Plattform medium veröffentlicht – und nicht hier im Blog.

Die DDoS-Story.

Weitere interessante Beiträge

165 Kommentare


Felix:

Ursächlich ist Sipgate sicherlich nicht schuld. Ich frage mich trotzdem, ob man ausreichend gegen solche Angriffsszenarien vorbereitet war, wenn man diese seit nun mehr über 24h nicht wirkungsvoll abwehren kann. Eine von zwei Maßnahmen wären jetzt sicherlich ganz hilfreich:

1) Die Möglichkeit Nummern umzuleiten. Oder das wenigstens die vor dem Ausfall konfigurierte Umleitung greift. Viele Kunden haben nämlich ein Telefonie-Backup. Das hilft aber dem der auf der Sipgate-Nummer anruft wenig.
2) Eine Ansage in der dem Anrufenden klar kommuniziert wird, dass es sich um eine technische Störung handelt.

Ich frage mich auch, ob die VOIP Störung der Telekom vor ein paar Wochen evtl. die gleiche Ursache hatte und die Telekom nur nicht zugegeben hat erpresst zu werden. Wenn dem so ist sehe ich schwarz für eine kurzfristige Lösung.

antworten

Conny B.:

Schließe mich an: aktuelle und vor allem zutreffende Statusmeldungen wären absolut hilfreich. Bei mir – Nähe Freiburg – lief bis nach 2h nachts nichts, heute morgen auch nicht.
Der Kollege, der für eine eine Alternative vorgesorgt hat, sollte mal mehr berichten. Für kleinere Firmen ist ja gerade der Nutzen, dass man von den üblichen Anschlüssen wegkommt. Und noch nicht mal die Rufumleitung auf mein Privat-Handy funktioniert. Wenn ich eine zweite Nummer grundsätzlich bereit halte oder bei Problemen rausgebe, macht das ja gar keinen Sinn für mich. Da müsste ( … , sorry) der Anbieter schon – soweit möglich – vorsorgen.

antworten

Holger Kröhnert:

Bei mir sind beide Simquadrat-Karten ohne Funktion.

Die 1. Karte ist meistens ausgeschaltet (benutze ich für Rufweiterleitung). Eben mal eingeschaltet – weder anrufbar, noch möglich jemanden anzurufen.

Die 2. Karte ist dauerhaft eingeschaltet (unser „Festnetztelefon“). Ebenfalls keine Gespräche möglich, trotz Neustart des Gerätes.

Auch, wenn das Problem nicht direkt durch Euch verursacht worden ist, würde ich doch gerne die Karten wieder nutzen können.
Wann sind die Simquadrat-Karten wieder nutzbar?

antworten

MD:

Hallo Sipgate Team,

ich drücke Euch die Daumen und haltet durch !
Ich habe vollstes Verständnis.

antworten

BB:

@MiS: Schön für dich dass du Zeit hast. Ich habe keine. Ich MUSS erreichbar sein. Meine Frau bekommt jeden Moment ein Baby und ich bin beruflich unterwegs „auf Abruf“.
Ich muss mir jetzt auf dem Weg zur Arbeit ein Wegwerfhandy mit Prepaidkarte kaufen.

Nächste Woche wird der Anbieter gewechselt. Das macht hier keinen Sinn mehr.

antworten

Conny B.:

!! Eine vernünftige Ansage, die über den Ausfall informiert, wäre für meine Kunden wichtig!!

antworten

Petra aus Berlin:

Hallo sipgate,
lasst Euch bloß nicht erpressen! Lieber weiche ich mal ein paar Stunden auf andere Kommunikationswege aus, als Kriminellen, die auf unsere Kosten leben wollen, Vorschub zu leisten!
Ich drücke die Daumen, dass Eure Techniker alles schnell und gut hinkriegen!
Petra

antworten

MiS:

@BB: Herzlichen Glückwunsch zum Baby. Als unsere Kinder auf dem Weg bzw. kurz vor dem Eintritt in die irdische Welt standen – habe ich die Zeit mit meiner Frau verbracht. Die Arbeit, bei der ich hätte auch sein können/müssen , war mir in diesen Momenten so richtig schnuppe.

Mein Tipp: Fahr zu deiner Frau und wartet gemeinsam. Eine Geburt ist weitaus emotionaler als eine Attake auf den Telefonanbieter!!!

Ein Anbieterwechsel macht nur bedingt Sinn. Schon mal darüber nachgedacht wer und warum diese Attake stattfinden könnte?

antworten

sun:

Man kann zwar Rufumleitungen im Webinterface setzen, leider funktionieren diese aber nicht…

antworten

sun:

Im Moment sind wir wieder erreichbar (Sipgate Plus, Fritzbox), hoffentlich bleibt das so!

antworten

Peter L.:

Seit gestern Abend mit der SimquadratSIM kein Telefonieren mehr möglich und kein SMS-Empfang. Ziemlich blöd, weil die SIM fürs Online Banking dringend benötigt wird!
Ich drück euch die Daumen, damit ihr das schnell wieder in den Griff bekommt. Auf keinen Fall auf den Erpressungsversuch eingehen!

antworten

uwe:

@sipgate Also hier in Freiburg ging bisher noch gar nichts. Auch nicht nach der Nachricht, gestern abend, das 100% am Netz seien.

@alle: Gegen eine DDoS Atacke kann man sich nicht wehren, man bedenke mal, das die vor ca. zwei jahren Master/Visa für 1 bis 2 Wochen defacto vom Netzt genommen haben und wovon Master/Visa sehr viel haben, das ist Geld. Trotzdem konnten sie sich nicht wehren…

antworten

BB:

@MiS: Danke. Die Wehen haben noch nicht eingesetzt – kann aber jetzt jederzeit losgehen. Und wenn es soweit ist, setz ich mich in Bewegung. Sofern ich denn zu erreichen bin. Bis dahin hat man Arbeitgeber kein Verständnis für Auszeiten. Kann ja theoretisch trotz errechnetem Datum noch einige Tage dauern.

Geht aber hier nicht um mich oder mein Baby sondern um den Grundsatz: auch Nicht-Geschäftskunden sind bisweilen auf zuverlässige Erreichbarkeit angewiesen. Da darf Simquadrat ruhig mal drüber nachdenken!

antworten

Jo:

Kriminelle Brut. Lasst Euch bloß nicht erpressen. Gut so.
Lieber das Geld in die Abwehr und Verfolgung stecken. Sonst fällt meine Sim² Karte bald jede Woche aus, wenn da Goldgräberstimmung aufkommt.

Die Erpresser soll der Blitz beim Sch##### treffen.

antworten

Level10:

@All
Dass es nicht nur Sipgate betrifft, scheint Euch allen nicht klar zu sein. Gestern war unter anderem einer der größten Provider Europas mit eigenem Backbone ebenso betroffen (nein, nicht das rosa T, sondern ein Provider mit 3 Buchstaben aus Frankreich). Allerdings haben die das relativ schnell wieder in den Griff bekommen und es gab lediglich Paketverluste. Aber so ist das halt: Keiner kann Euch 100%ige Uptime versprechen und ein DDoS ist kein Ereignis, was man komplett vorhersehen kann.

Und ja, wer sich bei VoIP nur auf einen Anbieter verlässt und nun herum mault, sollte sich einmal die Frage stellen, wie kritisch seine eigenen Telekommunikationsinfrastruktur überhaupt ist und ob es da nicht Differenzen zu der Selbsteinschätzung dieser gibt. Aber natürlich, muss halt alles immer billig sein und am Besten gar nichts kosten – aber Ansprüche stellen, als wenn man 4-fach redundant angebunden wäre. Und ja kein Geld für Backuplösungen locker machen. Kurzum: You get what you paid for!

Und noch etwas zu denen, die hier herum maulen, dass die Admins um 2 Uhr in’s Bett gehen und lieber schlafen, als an Lösungen zu arbeiten: Es macht keinen Sinn, vollkommen übermüdet vor einer Konsole im RZ zu sitzen und Scripte zu kloppen, sowie Firewalls neu zu konfigurieren – da passieren dann unter Umständen Fehler, die noch länger in der Behebung benötigen. Nein, dann lieber halbwegs ausgeschlafen am nächsten Morgen weiter machen.

Im Grossen und Ganzen möchte ich dem Sipgate/Simquadrat-Teams die Daumen drücken und hoffe, dass Ihr das bald in den Griff bekommt.

antworten

alex m.:

Ich sehe die primäre Schuld auch bei den Verursachern des DDoS und weniger bei Sipgate.
Die real-time Kommunikation von Sipgate im Blog, bei Twitter und über status.sipgate.de finde ich vorbildlich.
Danke dafür!

Schade finde ich allerdings zwei Dinge, auf die sipgate sich demnächst vielleicht vorbereiten könnte:
1. Umleitung bei offline funktioniert nicht
Natürlich habe ich eine Umleitung bei offline auf ein „normales“ Handy eingerichtet – diese funktioniert nun leider nicht.
2. andere Ansage bei Nicht-Erreichbarkeit
Dass meine Kunden bei einem Anruf nun hören „ihr gewünschter Gesprächspartner ist zur Zeit nicht erreichbar“ hört sich wenig professionell an und führt bei meinen Kunden dazu, dass ich meine Kommunikation nicht im Griff hätte…

Soviel als Verbesserungsvorschläge für die Zeit danach.

Nun erst einmal viel Erfolg bei der Bekämpfung der DDos-Attacke!

Und ja, ich bin seit 2008 Sipgate-Kunde und mit dem Anbieter zufrieden!

antworten

Sordon:

Zum Thema Anbieterwechsel:

War da nicht die Telekom, die analoge Telefone und ISDN abschafft?
Und munter freundliche, wohlwollende Zwangskündigungen versendet?

Warten wir mal ab, bis es soweit ist, und unser magenta Riese unter DDOS Attacken leidet.

Denn das was sipgate passiert, kann auch der Telekom passieren.

antworten

uwe:

NOCHMAL an alle:
Mann kann sich NICHT gegen Angriffe dieser Art wehren UND man kann sich gegen solche Angriffsszenarien NICHT vorbereiten!

Das steuert wer ein Bot-Netz (meist viele per Virus infizierte Windows PS’s) und jagt das gesamte Bot-Netz in jetzigem Fall auf Sipgate. Die haben dann so viele Anfragen, das entweder deren Systeme zusammenbrechen, oder eh keiner durch kommt, da die Leitung „verstofpt“ ist.

Ich weiß gar nicht, warum die Leute hier den Anbieter ständig belehren, zum Teil beleidigen. Wenn man alles hier gelesen hat, sollte man nun wissen, das die da nichts dafür können, vorausgesetzt man kann lesen!?

Und zur Erpressung:
Natürlich werden die weitermachen, wenn man zahlt (wenn auch nicht bei Euch), aber ich glaube, das die auch so weitermachen. Wenn nun Beide auf stur schalten, wird das nicht so schnell gehen. Ich würde ja verhandeln und zwar um meines Geschäftes willen.
Doof wird es, wenn Ihr Euch weigert bis zum bitteren Ende und dann doch zahlen müsst.
Dann habt Ihr wirklich kapitulieren müssen!

antworten

Hubert:

@ alex m.Die Ansage die ein Anrufer hört, kommt nicht von sipgate sondern vom Anbieter des Anrufers. Dem Anbieter wird bei dem Anruf nur ein Ablehnungscode signalisiert. Zu diesem generiert der Anruferanbieter dann eine Ansage.

Also selbst wenn sipgate wollte, könnten Sie auf die Ansage keinen direkten Einfluss nehmen, ausser Sie würden einen anderen/falschen Ablehnungscode senden. Ob dies aber überhaupt noch funktioniert ist ja hier fraglich. Es scheinen ja alle Server von sipgate betroffen zu sein. So könnte es also auch sein, dass die Anfrage gar nicht beantwortet werden.

antworten

AJ:

Die real-time Kommunikation von Sipgate im Blog, bei Twitter und über status.sipgate.de finde ich vorbildlich.

Der Angriff begann um 6 Uhr und Sipgate wird um 8 Uhr wach und erstmals aktiv….das nennt man vorbindlich?

antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.