DDoS-Attacke auf sipgate am 23.10.2014 (Erste Welle)

Bastian
23.10.2014 165 7:07 min

Am 23.10.2014 und 24.10.2014 wurden wir Ziel mehrerer DDoS-Attacken in Verbindung mit einem Erpressungsversuch. Dies wurde mit hoher krimineller Energie durchgeführt und führte zu jeder Menge Arbeit in unserer Technik. Unsere Gegenmaßnahmen erweisen sich als erfolgreich. In diesem Blog-Post kommentierten wir die Auswirkungen auf unsere Kunden und die Geschehnisse im Hintergrund am 23.10.2014. Einen Tag später, am 24.10.2014 folgte die zweite Welle, die wir in einem anderen Blog-Post kommentieren.

Hinweis: Infos zur aktuellen Verfügbarkeit erhalten Sie wie immer unter status.sipgate.de.

Donnerstag, 23.10.2014 ab ca 17:00 Uhr

Kriminelle attackieren sipgate derzeit mit einer DDoS-Attacke (Distributed Denial of Service Attack). Deshalb kommt es derzeit zu Problemen bei der Erreichbarkeit unserer Webseiten und auch die Telefonie ist für einen großen Teil unserer Kunden beeinträchtigt.

Ihre Daten sind bei uns sicher und Sie werden sich bald wieder wie gewohnt in Ihren sipgate– oder simquadrat-Account einloggen können.

Die Angreifer versuchen, Geld von uns zu erpressen. Wir werden uns unter keinen Umständen erpressen lassen und arbeiten stattdessen gemeinsam mit unseren ISPs an einer Lösung, um die Attacken abzuwehren. Parallel dazu haben wir die Ermittlungsbehörden eingeschaltet.

Wir bitten um Entschuldigung für die Ihnen entstandenen Umstände.

Im Moment können wir leider nicht einschätzen, wie lange die Beeinträchtigungen bestehen bleiben werden. Weitere Infos erhalten Sie unter status.sipgate.de. Folgen Sie @sgde_status, um auf dem Laufenden zu bleiben.

Update 23.10.2014 18:30 Uhr:
Wir arbeiten derzeit hart daran, die Attacke durch Änderungen an unserer Infrastruktur abzuwenden. Diese Änderungen brauchen ein wenig Zeit, weshalb es gut sein kann, dass wir erst in ein paar Stunden wieder voll da sein werden. Uns bleibt leider nichts anderes übrig, als um Ihr Verständnis zu bitten. Bitte beachten Sie, dass bei dieser Attacke keinerlei Systeme kompromittiert wurden und auch keine Kundendaten verloren gingen.

Update 23.10.2014 18:44 Uhr:
Die Änderungen scheinen erste Erfolge gebracht zu haben. Die Webseiten unseres Geschäftskundenproduktes sipgate team und unseres Mobilfunkproduktes simquadrat sind jetzt wieder erreichbar. Die Telefonie erholt sich ebenfalls gerade.

Update 23.10.2014 18:52 Uhr:
Alle Webseiten sind derzeit wieder erreichbar. Die Telefonie ist für einen großen Teil unserer Kunden leider noch immer stark beeinträchtigt. Hier liegt deshalb auch zur Zeit der Hauptfokus unserer Bemühungen.

Update 23.10.2014 19:44 Uhr:
Nicht nur unsere Produkte in Deutschland – auch unsere VoIP-Angebote in Großbritannien sind von der DDoS Attacke betroffen.

Leider konnten wir die Telefonie noch immer nicht vollständig wieder zum Laufen bringen. Wir arbeiten weiterhin an technischen Abwehrmaßnahmen. Ich wiederhole mich, aber das ist uns wirklich wichtig: Die Sicherheit der Kundendaten war zu keinem Zeitpunkt in Gefahr. Mehr auch unter status.sipgate.de.

Update 23.10.2014 19:55 Uhr:
Wir sind mehrfach gefragt worden, warum wir nicht einfach das geforderte Lösegeld bezahlen.
Ganz einfach: Weil das ziemlich bekloppt wäre. Und aus Prinzip. Zur Erklärung: Die Verbindung aus DDoS-Attacke und Erpressungsversuch zeugt von einer hohen kriminellen Energie. Würden wir der Forderung nachgeben und das Lösegeld bezahlen, würden wir die Urheber der Attacke geradezu einladen, weitere Attacken gegen uns durchzuführen. Selbst wenn wir für das Angriffsprofil der ersten DDoS eine Verteidigung erarbeiteten, lohnte sich der Aufwand, immer neue Attacken mit anderen Angriffsprofilen vorzubereiten. Ergebnis: Noch mehr Störungen für unsere Kunden und Angreifer die immer mehr Geld fordern. Zudem könnten weitere Kriminelle auf den Zug aufspringen und versuchen, uns ebenfalls zu erpressen. Nein danke!

Update 23.10.2014 20:12 Uhr:
Die Telefonie erholt sich weiter. Auf twitter berichten immer mehr Kunden, dass sie wieder erreichbar sind. Das freut uns, aber leider gilt das noch immer nicht für wirklich alle Kunden. Wir arbeiten daran. Könnte ne lange Nacht werden.

Update 23.10.2014 21:18 Uhr:
Die DDoS-Attacke hält weiter an. Aktuelle Infos gibts auf status.sipgate.de. Zu den Nachfragen in den Kommentaren: Wir werden das ganze in der kommenden Woche in einem ausführlichen Blog-Artikel detailliert aufbereiten.

Update 23.10.2014 22:37 Uhr:
So, kurzer Statusbericht: Die DDoS-Attacke hält an. Aber: Unsere Webseiten sind ja schon länger wieder da. VoIP zeigt sich seit ungefähr einer halben Stunde eher stabil, immer mehr Geräte kommen zu uns durch und registrieren sich nach und nach wieder an unseren Servern. Das gilt für unser Geschäftskundenangebot genauso wie für unser Privatkundenangebot. Gut: Nicht mehr lang und wir sind in Sachen VoIP hoffentlich bald bei 100%.

Bleibt der Mobilfunk, der uns im Moment die größten Sorgen bereitet: Hier melden sich zwar ebenfalls immer mehr SIM Karten wieder an unserem HLR an, aber das wird noch dauern bis wieder alle Mobilfunk-Kunden telefonieren können und Daten nutzen können. Wir sind dran. Unsere Techniker danken übrigens für die aufmunternden Worte und grüßen aus dem Maschinenraum. Danke an alle, die uns die Daumen drücken…

Update 23.10.2014 23:10 Uhr:
VoIP kratzt an den 100%. Mobilfunk zeigt sich immer stabiler. Sieht so aus als kämen jetzt alle SIM-Karten von sipgate team und simquadrat nach und nach zum HLR durch. Falls es nicht sofort klappt, hilft ein Reboot des Handys.

Update 23.10.2014 23:15 Uhr:
VoIP und Mobilfunk scheinen voll da zu sein. Falls sich Ihr Handy jetzt noch nicht von selbst wieder eingebucht hat, bitte einmal in den Flugmodus & zurück… oder notfalls kurz einen Reboot des Mobiltelefons durchführen. Danke an alle, die hier im Blog und bei Twitter mitgefiebert haben – morgen gibts hier im Blog in alter Frische weitere Infos. Und nochmal ein dickes „Sorry“ an alle betroffenen Kunden. Das ist uns absolut bewusst, dass das so nicht noch einmal passieren sollte. Wir werden das genau analysieren und aufarbeiten.

Update 23.10.2014 23:48 Uhr:
Zu früh gefreut… VoIP ist leider doch noch nicht voll da. Wir bekommen gerade einige Meldungen von sipgate team-Kunden, dass ihre VoIP-Telefone noch nicht wieder den Weg zu uns finden. Wir sind weiter dran. Updates folgen auf status.sipgate.de.

Update 24.10.2014 01:22 Uhr:
So jetzt aber… auch VoIP sollte jetzt vollständig für sipgate team-Kunden wieder funktionieren. Unsere Admins können zwar noch keine vollständige Entwarnung geben, sind aber guter Hoffnung, dass nun erstmal alles stabil läuft. Auf den verdienten Schlaf müssen die Kollegen allerdings noch ein wenig warten, denn nun muss das Ganze noch ein wenig beobachtet werden.

Update 24.10.2014 01:38 Uhr:
Es gab noch vereinzelt Kunden, die von Problemen mit Datenverbindungen über sipgate Handys berichteten. Dieses Problem sollten nun ebenfalls erledigt sein.

Update 24.10.2014 01:58 Uhr:
Morgen werden wir die Ereignisse in Ruhe analysieren und Sie an dieser Stelle ausführlich über die Hintergründe informieren. Bis dahin hoffen wir auf eine ruhige Nacht und sagen noch einmal Sorry für die entstandenen Schmerzen.

Update 24.10.2014 07:10 Uhr:
Nachdem wir die erste Welle gestern nacht letztendlich erfolgreich abgewehrt haben, läuft derzeit eine zweite Welle mit geändertem Angriffsprofil. Updates wie immer unter status.sipgate.de.

Update 24.10.2014 09:59 Uhr:
In einem neuen Blog-Post kommentieren wir die Geschehnisse rund um die DDoS-Attacken am 24.10.2014.

Am Rande: Bitte stellen Sie sicher, dass Ihr Computer und die Computer Ihrer Familienmitglieder, Freunde und Kollegen nicht einer von den Millionen Rechnern da draußen ist, die zu irgendeinem Botnet gehören und solche großangelegten DDoS-Attacken erst möglich machen. Schwach gesicherte Rechner, auf denen veraltete Software läuft und auf denen lange Zeit keine Sicherheitsupdates eingespielt wurden, sind leichte Beute für Online-Kriminelle.

Samstag, 25.10.2014 ca. 13:14 Uhr
Die zahlreichen Kommentare und Nachfragen auf twitter, facebook und hier im Blog brachten uns auf die Idee, die gesamte Geschichte in einem längeren Artikel aufzubereiten und auf diese Weise möglichst viele Fragen zu beantworten.

Der Artikel ist am Ende doch ziemlich umfangreich geworden. Wir glauben, dass er auch für andere von DDoS-Attacken betroffene (und nicht nur für sipgate-Kunden) interessant sein dürfte. Deshalb haben wir ihn graphisch etwas aufbereitet und auf der Plattform medium veröffentlicht – und nicht hier im Blog.

Die DDoS-Story.

Weitere interessante Beiträge

165 Kommentare


Felix:

@uwe

selbstverständlich gibt es Gegenmaßnahmen. Oder glaubst Du dass Sipgate gerade wartet bis der Angriff vorüber ist? … DDoS je nach größe des Botnetzes sehr schwer abzuwehren, aber nicht unmöglich. Dass man sich nicht auf solche Szenarien vorbereiten könnte ist jedenfalls völliger Humbug

antworten

AJ:

„““
NOCHMAL an alle:
Mann kann sich NICHT gegen Angriffe dieser Art wehren UND man kann sich gegen solche Angriffsszenarien NICHT vorbereiten!
„““
Was für ein Klugscheisser bist Du denn? Wenn man keine Ahnung von Internet und Netzwerken hat sollte man präventiv einfach mal ruhig sein.

antworten

Conny B.:

@Uwe: Zahlen? Oje ….. ! Und diese kriminelle Energie verstärken?
Ich setze gute IT-Fachleute, sehr gut vorbereitete effektive Krisenstrategien, Ermittlungsbehörden und auch Pressearbeit dagegen.

antworten

MH:

Ich will mich nicht zu früh freuen, aber VoIP und SIM gehen wieder.
Was noch nicht läuft ist die REST-Api, darauf kann ich aber noch warten…

antworten

Felix:

VoIP und SIM funktionieren auch hier wieder. Ich drück die Daumen, dass es so bleibt ..

antworten

ROE:

Moin, dann auch noch einmal an dieser Stelle.

Zuerst drücke ich den Betroffenen Techniker/Innen die Daumen und wünsche viel Kraft. Ich bin mehrgleisig von den Störungen betroffen und hoffe auf eine Lösung bis Montag.

Die Entscheidung, sich nicht erpressen zu lassen kann ich nur unterstützen. Das würde das Ganze nur schlimmer machen. Wenn auch nicht unbedingt für Sipgate, so bestimmt für andere Dienste im Internet.

Hier zu schimpfen oder gar zu drohen halte ich nicht für produktiv und es ist bei der Lösung des Problems nicht hilfreich.

Trotzdem muss seitens Sipgate/netzquadrat im Nachgang analysiert werden, warum die Attacken solch massive Störungen verursachen konnten und es muss in Ruhe überlegt werden, welche Maßnahmen vor zukünftigen Angriffen schützen können.

Viel Erfolg dabei.

Grüße von der sonnigen südhessichen Bergstraße

antworten

Michael Schaarschmidt:

die Team Anschlüssen wollen noch nicht wieder so richtig. SIM Karte bucht sich wieder ein, Basic und Trunk laufen soweit auch. Hat das einen bestimmten Grund?

antworten

Michael Schaarschmidt:

die Team Anschlüsse meine ich natürlich!

antworten

Mats:

Schön daß das Simquadrat Netz wieder funktioniert. Hoffentlich konntet ihr den DDoS Angriff dauerhaft abwehren! Wer deswegen den Anbieter wechseln will: 100%ige Sicherheit gibt es nirgendwo, vor einiger Zeit war hier in der Gegend (evtl. auch bundesweit?) auch der größte deutsche Mobilfunk-Anbieter einmal über einen halben Tag offline, wegen Serverproblemen nach Aufspielen eines Updates… Simquadrat hat nach wie vor mein Vertrauen – nur die Ansage zur Nicht-Erreichbarkeit müßte wirklich geändert werden, jeder versteht wenn es ein „technisches Problem“ gibt, die jetzige Ansage ist besonders für Firmenkunden problematisch.

antworten

FFAR:

Hier funzt i.M. SIM auch wieder soweit.
Good Work!
@“die Meckerer“: ersma eigene Nase betrachten.
@Anbietrerwechsler: rein statistisch schon kurz gedacht…
@sipgate: weiter so! Augen zu und durch, Zeit für Käsekuchen und Schlaf kommen auch wieder ;-)
Bin schon gespannt darauf woher der Mist kam und hoffe die/der Verursacher bekommt Bettwanzen und nie wieder Nachtisch.

antworten

lobito:

@Felix

freilich kann man sich vorbereiten, nur man muss auch Aufwand und Nutzen gegenüberstellen. Was gäbe es für einen Aufstand wenn Sipgate die Preise um 50% erhöht weil Investitionen für einen möglichen DDOS nötig sind? Dann gänge ja die Geiz ist Geil Strategie der Sipgate Nutzer nicht mehr auf.
Übrigens nutze ich Sipgate schon seit mehr als 8 Jahren und die richtig harten Ausfälle kann ich an einer Hand abzählen. Insgesamt gute Arbeit und ich kann mit meinen Kollegen im RZ gut mitfühlen, lasst Euch nicht verrückt machen.

antworten

Tobias:

Fr. 10:46 Uhr, SIM-Karten funktionieren, VOIP aber noch nicht.

antworten

uwe:

@AJ
na dann gib mal Anweisung welche Gegenmaßnahme mit Sicherheit diese Atacken verhindern?

antworten

J.B,:

Gelsenkirchen läuft uneingeschränkt
Bad Homburg läuft uneingeschränkt

Bravo! Vielen Dank!

antworten

Alex:

Herzlichen Dank an die Sipgate Admin!

Ich kann die Aufregung nicht wirklich verstehen. Bei uns zu Hause war bereits zweimal die Telekom-Leitung abgesoffen, einmal drei Tage und einmal eineinhalb Tage kein Internet oder Telefon. Auf der Arbeit (ca. 200 NSt) war einmal der NT kaputt und die Telekomiker haben einen ganzen Arbeitstag gebraucht um das zu fixen. Da kann ich so einen Ausfall locker verschmerzen.

antworten

DD-com:

Millionen Rechner und Smartfone sind die Ursache, die zu irgendeinem Botnet gehören und solche großangelegten DDoS-Attacken erst möglich machen ++ Gut wäre der Hinweis auf eine anti-Botnet APP und aktuelle Anti-Botnet Software

antworten

Ghahramani:

Ich musste aufgrund der Netzausfall eine Kostenpflichtige Rufumleitung setzen, dabei sind mir 3 Euro Gebühren entstanden nun weigert sich Sipgate mir die Kosten zu erstatten da sollten alle Betroffenen sich zusammen tun damit eine Sammelklage gegen Sipgate gestartet werden kann

antworten

Thomas:

@Ghahramani: Ist das dein Ernst? Mir fehlen die Worte…

Kleiner Tip: Schau mal in dein SLA.

antworten

rt:

Sammelklagen in Deutschland? Hat sich immer noch nicht rum gesprochen das es sowas in der Art nicht gibt …..
Wenn ich mir die Sipgate Status Seite ansehe, würde ich sagen, gut es ich nur einen Basiczugang zum testen habe!
Ein Telefonanbieter der seine Dienste nicht durchgängig anbieten kann, was soll ich damit ???

antworten

Schreibe einen Kommentar zu lobito Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.