XMR-Squad

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Twitter-Logo xmr_squad

Eine im April 2017 sehr erfolgreiche agierende und aggressive Hacker-Gruppe war XMR-Squad (auch einfach XMR oder auch xmr_squad - bei Twitter - genannt).

Einzelheiten

Dieser Gruppierung gelangen seit dem 19.04.2017 erfolgreiche großflächige DDoS-Angriffe gegen diverse deutsche Großunternehmen bzw. deutsche Unternehmensstandorte (Telekom, Vodafone, DHL, Hermes, Freenet, Aldi-Talk, Knuddels.de etc.) mit Ankündigung. Weiterhin betroffen waren, entsprechend der XMR-Webseite, bereits auch der Webserver des LKA in Niedersachsen und der Landesserver des Bundeslandes NRW (wobei dies von NRW bestritten wird). Hier wird aber nur von einem sogenannten "Antesten" ausgegangen.

Die entsprechenden Angriffe wurden auf dem Twitter-Kanal der Gruppierung begleitet. Die Besonderheit von XMR-Squad war, dass sie die Angriffe als eine Art Penetrationstest bekanntgaben und für den Test eine Gebühr von 250 Euro verlangten. Da es der Gruppierung immer wieder gelang, die Webauftritte von Konzernen lahmzulegen, war von einer Hochgefährlichkeit auszugehen.

Wortlaut der Erklärung @xmr_squad per Twitter

Über die Art der Angriffe gibt es bisher noch keine gesicherten Angaben. Es scheint aber, nach Auswertung der Twitter-Kommunikation, dahinter ein Botnetz zu stehen. Nach bisherigen Erkenntnissen wurden dabei nicht massenhaft internetfähige Geräten (IoT) wie Druckern, Routern und Babyfones zusammengeschalten, eher ist von einer Reihe hochperformanter Server und einer Steuerung per IRC (Medusa IRC Botnetz) auszugehen. Ein neues unbekanntes DDoS-Angriffstool scheint es damit nicht zu geben. Merkwürdig an der Twitter-Kommunikation von XMR-Squad waren tägliche als Rückwärts-Zeitzähler verwendete Tweets. Der Endpunkt war Mittwoch, der 26.04.2017. Hier veröffentlichte die Gruppierung eine Erklärung zu den Taten, in der auch von einer vermuteten Enttarnung eines Mitglieds gesprochen wird. Wenig später wurden der Twitter-Account und die Webseite gelöscht. Es ist damit wohl eine Auflösung der Gruppierung wie bei LulzSecurity zu vermuten.


Zusammenhang mit ZZb00t

Abschiedserklärung XMR-Squad

Auf Twitter reaktivierte sich allerdings XMR-Squad kurze Zeit später wieder (unter dem neuen Twitternamen no mercy. ). Ende Mai verabschiedete sich das angebliche Duo wieder im Zusammenhang mit der Verhaftung des Hackers ZZb00t (der augenscheinlich ein ähnliches Modell verfolgte und per Jabber mit XMR-Squad in Verbindung stand) und eigenen Hausdurchsuchungen[1]. Unter dem Twitternamen dontcatch.us wurde noch eine Abschiedserklärung veröffentlicht. Demnach sind die Hacker wieder auf freien Fuss, wie beispielsweise auch die Reaktivierung des ZZb00t-Twitteraccounts zeigte. Es scheint schwierig zu sein, den Hackern ihre vermuteten Taten nachzuweisen, da sie Ihre Rechentechnik offensichtlich mit TrueCrypt/VeraCrypt verschlüsselt haben.

Selbst das BSI schien in seinen Berichten über die Aktivitäten vom XMR-Squad und ZZb00t beunruhigt zu sein[2].

Am 30.August 2017 reaktivierte sich die Gruppe XMR-Squad erneut mit, nach eigenen Angaben, neuem Team und mehr DDoS-Kapazität. Entsprechend ihres Twitter-Accounts wurden erneut vornehmlich deutsche Firmen angegriffen. Zwischenzeitlich behauptete der Twitter-User @RevexGov, selbst der wahre XMR-Squad zu sein. Auch sollen o.a. Angriffe nur mit IP-Stressern (einfaches IP-Paket -Angriffswerkzeug, meist auf Cloud-Basis) ausgeführt werden und nicht mit einem Medusa IRC. Allerdings ist dieser Twitter-Account derzeit nicht mehr erreichbar, einen Tag später traf dieses Schicksal auch dem Twitter-Account @xmr_squad. Allerdings werden wohl weiterhin Angriffe unter dem Namen XMR-Squad ausgeführt[3][4], allerdings wurde der zwischenzeitlich neu aufgetauchte Twitter-Account @xmrsquad_ von ZZb00t als Fake eingestuft. Diese neuen Angriffe sollen auch nun mittels DRDoS-Angriff per NTP ausgeführt werden mit einer maximalem Kapazität von 5GBbit/s. Dazu ist noch ein weiterer Twitter-Account @XMRSquad aufgetaucht, der seine Tweets aber vor der Öffentlichkeit schützt. Ende November 2017 tauchte auch der Twitter-Account @xmr_squad wieder auf.


Weblinks


Einzelnachweis

  1. News: Hacker ZZb00t wurde gefasst. xmr_squad löscht Twitter Account auf Wortfilter.de
  2. "Janotta und Partner bringt Deutschlandweit bekannte Hackergruppe zum Stillstand" in Webseite Janotta und Partner
  3. Meldung über "XMR Squad" Aktivität auf Twitter vom 27.September 2017 in Twitter-Account @QuezSays
  4. Meldung über "XMR Squad" Aktivität auf Twitter vom 04.Oktober 2017 in Twitter-Account @AYoungESQ


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 6. Dezember 2017 um 10:53 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Muszeresz Peet.

Anzeigen