DDoS-Angriffe aus Einsamkeit | Repost von Netzpolitik.org

Wichtige Info
/!\ Dies ist ein Repost von Netzpolitik.org, da die Site vermeintlich angegriffen wird.
Hier der originale Beitrag*:
https://netzpolitik.org/2020/ddos-serie-angriff-aus-einsamkeit/

*Dieser steht unter der Creative Commons BY-SA-NC 4.0 Lizenz

Eine Geschichte ungehörter Hilferufe

Zwei junge Männer aus Deutschland sollen DDoS-Attacken verübt und einen Millionenschaden verursacht haben. Einer war erst 16 Jahre alt. Seine Geschichte begann in der Klötzchenwelt von Minecraft, Warnsignale gab es viele.

Auch die Website und das Online-Banking der Deutschen Kreditbank legten die Angreifer teilweise lahm.

Während der Angriffe fiel unter anderem die Website der Deutschen Kreditbank aus, auch das Online-Banking war betroffen. Daniel Laufer | Bearbeitung: netzpolitik.org

Schon sein Name ist blanker Hohn. Auf Twitter nennt er sich Naifu911. Wie das Messer auf Japanisch, wie der Notruf in den USA. „Seit fünf Stunden haben sie es bisher nicht geschafft, den Angriff zu unterbinden“, schreibt er. „Schwache Leistung.“

Es ist der 7. Januar 2020 und der Angreifer verspottet sein Opfer. Über die Deutsche Kreditbank (DKB) prasselt zu jenem Zeitpunkt eine sogenannte Distributed-Denial-of-Service-Attacke (DDoS) herab. Die Website der Bank ist zum Teil nicht erreichbar, damit auch das Online-Banking. Für die rund vier Millionen Kunden der Bank ist dies ein Ärgernis, für die DKB selbst eine Katastrophe.

Fünf Monate werden vergehen, bis herauskommt, wer hinter den Angriffen stecken soll. Vergangene Woche vermelden die Sicherheitsbehörden einen Erfolg. Sie durchsuchen die Wohnungen eines 16-Jährigen im niedersächsischen Soltau und eines 20-Jährigen im Schwarzwald. Dem Duo werfen sie vor, für eine ganze Serie solcher Vorfälle verantwortlich zu sein.

Nach Recherchen von netzpolitik.org hat dabei womöglich vor allem der Jüngere der beiden die tragende Rolle gespielt, offenbar auch nicht zum ersten Mal. Bei ihm handelt es sich wohl um die Person, die unter dem Pseudonym Naifu auftrat. Nur: Was könnte das Duo dazu gebracht haben, an diesem Dienstagabend eine Bank zu attackieren?

Genau genommen gilt der Angriff dem Finanz Informatik Technologie Service, einem Unternehmen der Sparkassen-Gruppe. Es betreut die DKB als Dienstleister. Die Firma ergreift Maßnahmen, sie leitet den Datenverkehr um, schaltet Dienste dazwischen, die die Attacken eindämmen sollen.

Besucher der Website werden durch Server von Drittanbietern geschleust, die einen DDoS-Schutz versprechen. Sie tragen Namen großer Firmen aus dem Bereich der IT-Sicherheit, SecurityDAM, Radware oder Cloudflare. Aber der damals noch anonyme Angreifer Naifu zeigt sich unbeeindruckt. „Solange man nicht weiß, wie man mit den Anbietern umgeht, wird das nichts“, lästert er auf Twitter.

Über Tage hinweg wird das Theater andauern und die DKB nur eingeschränkt erreichbar bleiben.

Tödliche Anfälle von Einsamkeit

Die Angreifer suchen sich derweil wohl ihr nächstes Ziel, jetzt trifft es den Telekommunikationsanbieter Freenet. Auch dessen Website hat mit der Last der Attacke zu kämpfen. Auf Twitter feiert Naifu seinen Erfolg. Ein Dienst, der Störungsmeldungen erfasst, dokumentiert diesen. „Mal schauen, ob ich die Sparkasse auch in die Top-10-Störungen der Woche bekomme“, schreibt er.

Naifu lädt ein Video hoch, das zeigt, wie er auch deren Informationsportal aus dem Netz befördert, es ist ein Vorher-Nachher-Vergleich. Im Hintergrund läuft japanische Musik, eine Frauenstimme besingt „tödliche Anfälle von Einsamkeit“.

Wer Naifu bei seinen Angriffen zusieht, wohnt einer Inszenierung bei. Sie wirkt wie eine melodramatische Machtdemonstration. So, als solle jeder sehen, wozu er, Naifu, in der Lage ist.

Eine große Kanone

Bei DDoS-Attacken werden Ziele mit so vielen Anfragen bombardiert, bis sie überlastet sind. Irgendwann ist schlichtweg die Leitung dicht. Mitunter stellen Angreifer besonders rechenintensive Anfragen, die auch noch den Server selbst lahmlegen. In jedem Fall können Besucher einer Website nicht mehr wie gewohnt auf diese zugreifen.

Wer solche Attacken ausführen will, muss üblicherweise eine große Zahl von ans Netz angeschlossenen Geräten kontrollieren. DDoS-Angriffe werden deshalb üblicherweise mithilfe sogenannter Botnetze verübt. Sie bestehen aus etlichen Geräten, die mit Schadsoftware infiziert sind und dadurch ferngesteuert werden können.

Anfang Januar ist offensichtlich, dass auch Naifu Zugang zu einem solchen Botnetz hat. Er nutzt es wie eine große Kanone, mit der er ein Ziel nach dem anderen abschießt. Wie groß diese Kanone ist, macht er noch einmal ein paar Tage später deutlich, als er eine weitere Bank attackiert. Er twittert: „Ich schaue dann mal bei Comdirect vorbei.“ Vier Minuten vergehen, dann geht auch zu dieser eine Flut an Störungsmeldungen ein.

Angriffe auf kritische Infrastruktur

Banken zählen zur sogenannten kritischen Infrastruktur. Dabei handelt es sich um Systeme, die für die Gesellschaft von wesentlicher Bedeutung sind. Da sie durch Angriffe aus dem Netz gefährdet sind, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den „Krisenplan Cyber“ entwickelt, mit dem sie sich auf eine großangelegte Attacke vorbereitet.

„Noch hat es wenig Cyberangriffe gegeben, und die Banken haben sie gut überstanden“, ließ sich BaFin-Direktor Raimund Röseler kürzlich in einer Publikation seiner Behörde zitieren. „Aber die Bedrohung ist da. Und sie wächst.“ Fast 700 schwerwiegende Fälle sind nach Angaben der Aufsichtsbehörde seit 2018 bekannt geworden.

Auch die Sicherheitsbehörden nehmen Angriffe auf kritische Infrastruktur ernst. Wie ernst, das wird auch bald Naifu zu spüren bekommen. Mit seinen Taten soll er einen Millionenschaden verursacht haben. Insgesamt zwölf DDoS-Fälle in Deutschland bringt die Polizei mit ihm in Verbindung, sie ermittelt in fünf Bundesländern, auch das Bundeskriminalamt ist eingebunden.

Zusammen laufen die Fäden in Kiel. Dort hat das Landeskriminalamt (LKA) Schleswig-Holstein eigens die Ermittlungsgruppe „Welle“ gebildet. Sie wertet die Spuren aus, die der Angreifer hinterlassen hat. Sie verfolgt sie zurück. Sie steht am 16. Juni vor der Wohnungstür in Soltau.

In der Stadt, die eher für ihren Heide-Park bekannt ist, treffen die Ermittler auf Naifu, den 16-Jährigen, der eigentlich M. heißt.

Ein Werk von Script-Kiddies?

Seinem mutmaßlichen Partner, dem 20-Jährigen, der in Calw lebt, wirft die Schwerpunkt-Staatsanwaltschaft „Cybercrime“ in Itzehoe vor, einen Command-and-Control-Server angemietet zu haben. Also den Computer, mit dem das Duo das Botnetz gesteuert haben soll. Bereits in der Vergangenheit sei er polizeilich in Erscheinung getreten, im Zusammenhang mit sogenanntem Computerbetrug.

Bei M. ist die Sache komplizierter. Erst bei Nachforschungen wird deutlich, dass diese Eskalation Anfang des Jahres nur der Höhepunkt einer Entwicklung zu sein scheint, die offenbar schon vor Jahren begann.

Naifus Geschichte ist nicht die eines jungen Superhackers. Das zeigen die Spuren, die er selbst über die Jahre im Netz hinterlassen hat. Bekannte, die wir ausfindig gemacht haben, zeichneten das Bild eines unglücklichen Jugendlichen, der vor allem Anschluss suchte und dafür wieder und wieder zu weit ging.

Angreifer haben das Botnetz wohl selbst aufgebaut

In der Hacker-Szene werden DDoS-Attacken belächelt. Um sie auszuführen, ist kaum technisches Können notwendig, heißt es häufig. Tatsächlich lassen sich Botnetze für solche Angriffe auf einschlägigen Websites schon für wenig Geld anmieten. Verübt werden sie mitunter von sogenannten Script-Kiddies, die fertige Programme ausführen und so mitunter ohne viel eigenes Können enormen Schaden anrichten.

„Was die Angreifer hier getan haben, ist am Ende trivial. Das erfordert eben ein bisschen Fleiß“, sagt Linus Neumann, Sprecher des Chaos Computer Club. „Am Ende ging es um die Frage, ob die Angreifer genug Ausgangspunkte und Bandbreite unter ihre Kontrolle bringen können, um ihr Ziel zu überfordern.“ Da selbst die größten Anbieter über endliche Ressourcen verfügen, lasse sich der Erfolg eines solchen Angriffs nie vollständig ausschließen.

Die Ermittler der Einsatzgruppe „Welle“ glauben, dass M. und sein Mitstreiter ihr Botnetz, mit dem sie Websites von Banken in die Knie zwangen, selbst aufgebaut haben könnten. Wie ihnen das gelungen sein soll, dazu will sich das LKA nicht äußern.

Nach Recherchen von netzpolitik.org könnte vor allem der 16-Jährige hierfür verantwortlich gewesen sein. Wir sind auf deutliche Hinweise darauf gestoßen, woraus dieses Botnetz mindestens teilweise bestanden hat. Die Erkenntnisse sind so erstaunlich wie erwartbar für den Modus Operandi eines 16-Jährigen.

Es beginnt mit Minecraft

Fünf Jahre zuvor ist M. elf Jahre alt. Und wie viele Kinder und Jugendliche steckt er tief in der bunten Klötzchenwelt von Minecraft, einem Computerspiel, das Spieler große Freiheiten lässt. Sie können sie nach ihren eigenen Wünschen gestalten oder über das Netz gemeinsam mit anderen erkunden.

Wem das nicht reicht, der kann bereits mit rudimentären Programmierkenntnissen eigene Erweiterungen schreiben und der Minecraft-Welt seinen eigenen Willen aufzwängen, jenseits der Gesetze der ursprünglichen Spielphysik. Viele junge Spieler reizt das, und so machen sie mit Minecraft ihre ersten Schritte. Auch M. gehört zu ihnen. Wie er in einem Tweet schreibt, lernt er für das Spiel die Programmiersprache Java. M. wird über die Jahre mehrere Twitter-Accounts nutzen, Naifu ist nicht sein einziges Pseudonym.

Es dauert nicht lange, bis erste Hinweise auftauchen, dass seine wahren Interessen jenseits dieser bunten Klötzchenwelt liegen könnten. Nach einigen Monaten, in denen er an dem Spiel herumbastelt, ändert er den Namen seiner Spielfigur. In Minecraft nennt sich M. jetzt LuminosityLink.

Vielleicht ist das einfach ein Zufall. Vielleicht hat er sich bei dem Namen aber auch inspirieren lassen. LuminosityLink, so heißt damals jedenfalls ein neues Programm aus den USA, das für 40 US-Dollar erhältlich ist. Es ist so beliebt, dass sich sogar das FBI dafür interessiert: Es wird später den Entwickler festnehmen. Denn bei LuminosityLink handelt es sich um Schadsoftware. Sie erlaubt Angreifer, Geräte zu infizieren und anschließend zu kontrollieren.

Trojaner-Angriff in der Schule

Als weitaus deutlicheres Warnsignal muss man rückblickend einen Vorfall deuten, den M. verursacht, als er in der siebten Klasse ist.

Er infiziert mehrere Schulcomputer mit dem, was der zuständige Landkreis in einer E-Mail an diese Redaktion später als multifunktionale Schadsoftware bezeichnen wird. Offenbar installiert M. einen sogenannten Trojaner. Sobald sich Lehrer und Mitschüler an den Schulcomputern anmelden, kann er diese fernsteuern.

Die unerlaubten Zugriffe fliegen wohl deshalb auf, weil er bei einem Freund damit angibt. So erzählt er selbst davon auf Twitter. Nicht zum letzten Mal wird es die Prahlerei sein, die ihn in ernsthafte Schwierigkeiten bringt. Wenn M. Mist baut, wissen am Ende offenbar alle Bescheid – sogar die Behörden.

Schon damals sind die Folgen immens. Die Firma, die die Schulsoftware betreut, muss in Soltau vorbeikommen und den Server überprüfen. Und der Niedersächsischen Landesschulbehörde zufolge wird M.s Mutter zu einem Gespräch in die Schule bestellt. Auch ein Mitarbeiter aus der IT-Abteilung des Landkreises ist dabei.

Für M. geht die Sache glimpflich aus. Seinen Tweets zufolge erhält er im Halbjahreszeugnis die Note fünf für sein „Sozialverhalten“. Der Landesschulbehörde zufolge verzichtet die Schule jedoch darauf, Strafanzeige zu stellen.

Ein Programm, um zu betrügen

„Ich habe überhaupt kein Bock auf Schule, derzeit auch kein Bock auf Schlafen“, twittert er ein paar Wochen später mitten in der Nacht, an einem Tag unter der Woche. Aus seinem Zeugnis, das er auf Twitter teilt, geht hervor, das er nur in einem einzigen Fach gut ist: Informatik. Seine Freizeit fließt mittlerweile in ein großes Projekt, das den Namen LiquidBounce trägt.

Dabei handelt es sich um ein Stück Software, das Minecraft-Spieler erlaubt, Servern beizutreten und zu betrügen, indem es ihnen neue Funktionen freischaltet, die eigentlich gar nicht vorgesehen sind. Vorteile, die ihnen erlauben, gegen die Regeln zu verstoßen. Genau genommen ist es eine Art Hack.

LiquidBounce, das M. mit einem Freund betreibt, entwickelt sich in der Minecraft-Szene zu einem großen Erfolg. Einem Screenshot zufolge setzen Tausende das Programm täglich ein. Aber im Sommer 2018 zeichnet sich ein Problem ab: Auf einmal kennzeichnen Antivirenprogramme LiquidBounce wohl als Schadsoftware. Sie halten es für gefährlich, es besteht der Verdacht, bei LiquidBounce könnte es sich in Wahrheit um einen Trojaner handeln.

Hintertüren in Erweiterungen für Minecraft-Server

M. beklagt sich darüber auf Twitter. Und er wischt diese Bedenken beiseite. Eine Fehlfunktion, behauptet er in Tweets. Der Freund, mit dem er die Software in Stand hält, dementiert heute gegenüber netzpolitik.org, dass LiquidBounce Schadsoftware enthielt. Quelloffen und damit für jeden überprüfbar, machen die Entwickler das Programm jedoch erst viel später.

Der Verdacht, in LiquidBounce könnten geheime Hintertüren verbaut worden sein, drängt sich auch deshalb auf, weil M. wohl parallel dazu an entsprechenden Programmen arbeitet. Mehrere Bekannte berichten netzpolitik.org übereinstimmend, der Teenager habe fremde Erweiterungen für Minecraft mit einer Hintertür versehen und über gängige Plattformen weiterverbreitet. Nichtsahnende Spieler hätten sie auf ihren Minecraft-Servern installiert und diese dadurch infiziert.

Träfe dies zu, dann hätte M. Zugang zu Geräten, die er fernsteuern kann. Die entscheidende Voraussetzung für ein Botnetz. Die Ermittler glauben, er und der heute 20-Jährige hätten spätestens im Januar 2019 begonnen, ein solches aufzubauen.

Erpressung in Nigeria

In dieser Zeit entwickelt M. offenbar eine erhebliche kriminelle Energie. Zum ersten Mal scheinen seine Taten einen finanziellen Hintergrund zu haben. Der Staatsanwaltschaft zufolge schlägt er im April 2019 außerhalb von Deutschland zu, in Westafrika.

Dort habe M. Router von Telekommunikationsanbietern und deren Kunden angegriffen, teilt die Behörde mit. Das LKA sagt, er habe eine Sicherheitslücke ausgenutzt. Internetnutzer in Nigeria bekamen einen Sperrbildschirm angezeigt. Um die Geräte wieder freizugeben, soll der Angreifer rund 100 Euro in der Krypto-Währung Bitcoin gefordert haben. Die Staatsanwaltschaft Itzehoe wirft M. deshalb gewerbsmäßige Erpressung vor.

Die nigerianischen Telekommunikationsanbieter, denen der Account Naifu demonstrativ auf Twitter folgt, lassen Anfragen von netzpolitik.org unbeantwortet. Wie groß der durch diese Angriffe entstandene Schaden ist, kann auch das LKA noch nicht sagen.

M. selbst scheint jedoch konkrete Vorstellungen davon zu haben, was er in dem Land angerichtet hat. „Erst recht habe ich dort nicht nur die Anbieter offline genommen, ich habe alle Router ‚gehackt‘ und unbrauchbar gemacht“, schreibt er einer Bekannten in einer Nachricht. Er prahlt, die betroffenen Unternehmen seien dadurch fast pleite gegangen.

Die Lust an der Zerstörung

netzpolitik.org liegen umfangreiche Gesprächsprotokolle vor, die über die Jahre auf der Chat-Plattform Discord entstanden sind. Zum Teil konnten wir sie selbst sichern, zum Teil wurden sie uns zugespielt. M. tritt unter verschiedenen Pseudonymen mit unterschiedlichen Accounts auf, zum Teil auch gleichzeitig.

In mindestens einem Fall fragt er sich vor den Augen weiterer Teilnehmer offenbar selbst zu den Angriffen aus. Womöglich ein Versuch, um weitere Aufmerksamkeit zu erzeugen.

Wer M.s Nachrichten liest, lernt einen Menschen kennen, der keinerlei Anteilnahme am Leid Anderer zu verspüren scheint. „Ich mache seit Jahren nichts anderes, als anderen Leuten ihr Leben schwer zu machen“, schreibt er. „Es macht mir Spaß, anderen Leuten unnötig Arbeit zu machen oder ihr Leben zu zerstören.“

Angriff auf den YouTuber Unge

Wo immer M. auftaucht, scheint es Ärger zu geben. Er ist auch in einen Angriff auf Suro verwickelt, ein von langer Hand geplantes, mehrtägiges Minecraft-Event des YouTubers Unge, der von den Einnahmen durch seine Videos und Livestreams lebt.

Mehrere Personen aus M.s Team sabotieren das Projekt. Mithilfe einer Sicherheitslücke brechen sie in Unges Minecraft-Server ein.

Ein Mitschnitt zeigt, wie sie sich dabei auf M.s Discord-Kanal organisieren. Auch er selbst nimmt teil. Während der YouTuber livestreamt, postet die Gruppe massenhaft Werbebotschaften für das Programm LiquidBounce in den Chat des Spiels. Schließlich tötet sie mithilfe eines Server-Befehls alle Spielfiguren.

Verglichen mit dem, was im Sommer 2019 beginnt, ist dieser Angriff auf Suro aber nur Kleinkram. M.s Zerstörungswut scheint jetzt eine neue Dimension zu erreichen. Und er verlässt die bunte Minecraft-Welt wohl endgültig. Zunächst, weil er ein neues Lieblingsspiel hat. Was wie das einfache Hobby eines mittlerweile 15-Jährigen aussehen mag, wird bald auch die Sicherheitsbehörden beschäftigen.

DDoS-Attacken auf eine gesamte Gaming-Community

„SCP: Secret Laboratory“ ist ein Indie-Shooter, der damals nach Entwicklerangaben mehr als 50.000 Spieler hat. Es gibt einige hundert Server, auch M. ist an einem beteiligt. Einer, der mit M. im Team dieses Servers ist, räumt später ein, es könnte darum gegangen sein, die Konkurrenz zu behindern, damit mehr Menschen auf ihrem eigenen Server spielen.

Über Wochen hinweg prasseln DDoS-Attacken auf die Spieleserver ein. Die meisten deutschen Server sind hiervon betroffen, wie Łukasz Jurczyk später sagt. Bei dem polnischen Entwicklerstudio Northwood ist er für die IT-Sicherheit zuständig.

Zeitweise greift wohl M. an, sobald mindestens zwei Spieler einem Spieleserver beitreten. Wie er selbst in einem Chat behauptet, betrifft dies mehr als 500 Server.

Botnetz bestand wohl auch aus Minecraft-Servern

netzpolitik.org konnte umfangreiche Protokolle des Netzwerkverkehrs einsehen, die während Angriffen aus dieser Serie entstanden sind. Sie lassen Rückschlüsse zu auf die Quellen, von denen die Attacken ausgingen.

Wir haben IP-Adressen, die daran beteiligt waren, abgeglichen und stichprobenartig zurückverfolgt. In vielen Fällen finden sich eindeutige Belege dafür, dass die Angriffe von Minecraft-Servern ausgingen. Offenbar handelt es sich mindestens bei einem Teil des Botnetzes tatsächlich um Server, von denen M. zuvor behauptet hat, er habe sie durch umgebaute Erweiterungsprogramme mit Schadsoftware infiziert.

Die Internetanbindung eines Spieleservers sollte weitaus leistungsfähiger sein als ein herkömmlicher Internetanschluss zuhause. Viele Spieler müssen sich gleichzeitig mit dem Server verbinden können, ohne dass es zu Störungen kommt. Das sind Voraussetzungen, die es besonders attraktiv machen, solche Server für einen DDoS-Angriff zu missbrauchen. Dies könnte erklären, warum die Attacken des Botnetzes so effektiv waren.

Strafanzeige in Schleswig-Holstein

Schon wenige Tage nach dem Beginn der großflächigen DDoS-Serie in der Community von „SCP: Secret Laboratory“ erstattet eine betroffene Person an ihrem Wohnort in Schleswig-Holstein Strafanzeige bei der Polizei. Sie übergibt auch einen USB-Stick mit Belegen, die sie gesammelt hat, darunter Screenshots. Spätestens im Sommer 2019 erfahren die Ermittler von dem Angreifer mit dem Pseudonym Naifu.

Bereits damals lässt sich ein deutlicher Hinweis auf das Täterprofil finden: Als Avatar nutzt Naifu ein Bild von Shiro, einem Charakter aus der Anime-Serie „No Game No Life“, beliebt vor allem bei Teenagern. Shiro ist eine Gamerin, bekannt dafür, dass noch niemals jemand gegen sie gewonnen hat.

Auch M. scheint sich unbesiegbar zu fühlen. „Die deutsche Polizei ist ziemlich schlecht in sowas“, schreibt er in einem Chat. „Sie haben es die ganzen Jahre nicht geschafft, mich zu bekommen – egal, wie viele Informationen es gab.“

Vielleicht geht er deshalb bald noch größere Risiken ein. Naifu attackiert jetzt auch in Deutschland Ziele, die nichts mehr mit seinen Computerspielen zu tun haben.

Auch Internetanbieter geraten in die Schusslinie

Im Juli und August beschießt das Botnetzwerk eine Reihe lokaler Internetanbieter. Zu den Leidtragenden gehört die TNG Stadtnetz GmbH in Kiel. Einer der Angriffe sei von 5.000 unterschiedlichen IP-Adressen ausgeführt worden, teilt ein Sprecher des Unternehmens netzpolitik.org mit. Dabei habe er eine Bandbreite von rund 500 Gigabit pro Sekunde erreicht.

Die tatsächliche Wirksamkeit einer solchen Attacke richtig zu bemessen, ist schwierig, weil es dabei darauf ankommt, wie viele Ressourcen dem Angriffsziel zur Verfügung stehen. Die Datenmenge, die auf zwei Ziele der TNG Stadtnetz GmbH einprasselt, entspricht zum Vergleich etwa 100.000 Menschen, die gleichzeitig einen HD-Film bei Netflix schauen. Was für manche Anbieter Alltag sein mag, kann die Kapazitäten anderer um ein Weites übersteigen.

Auch in Hessen sind drei Unternehmen betroffen. In einem Fall genügt M. nach eigenen Angaben auf Discord als Grund, dass die Internet-Bandbreite eines Freundes gedrosselt worden sein soll.

Er gefällt sich offensichtlich in der Rolle des maskierten Rächers, der Unheil stiftet. In der Statusanzeige auf Discord, wo normalerweise steht, welches Computerspiel Nutzer spielen, trägt er für alle sichtbar das Ziel ein, das sein Botnetz gerade ins Visier nimmt.

Spekulationen über einen Auftragshacker

Der 15-Jährige will auffallen, auch außerhalb seiner Gaming-Community. Unter dem Namen Naifu registriert er hierzu auch mehrere Accounts bei Facebook. „Ich hoffe euch gefällt der Angriff auf das Netz“, kommentiert er etwa einem Dienstleister aus Kassel auf die Seite. „Das wird noch ein bisschen länger laufen, freut euch.“

Tausende Kunden der betroffenen Anbieter fliegen in dieser Zeit immer wieder aus dem Netz oder können sich gar nicht erst einwählen. Der wirtschaftliche Schaden, der durch solche Ausfälle verursacht wird, kann immens sein. Abwehrmaßnahmen kosten die Internetanbieter Geld und beschädigen das Vertrauen der Kunden, zu denen wiederum Firmen gehören, die selbst auf das Internet angewiesen sind.

Christopher Mandt, Geschäftsführer des einem Facebook-Beitrag zufolge betroffenen Internetanbieters Nexiu aus dem Hochtaunuskreis, spekuliert gegenüber der Zeitung Frankfurter Neue Presse im August sogar, ein unzufriedener Kunde könnte einen Hacker beauftragt haben, um sein Unternehmen zu attackieren. Wie schon in Schleswig-Holstein nimmt die Polizei nun auch in Hessen Ermittlungen auf.

Monate vergehen, bis Ermittler auf M. stoßen

Nicht klar ist, wie lange es wirklich dauert, bis die Einsatzgruppe „Welle“ all die Spuren miteinander verknüpft. Bereits im Januar ist eine Verbindung zwischen den DDoS-Angriffen auf kritische Infrastruktur und den Attacken in der Gaming-Community von „SCP: Secret Laboratory“ ersichtlich.

Während Naifu mit seinem Botnetz die DKB und die Sparkasse beschießt, prahlt er damit in einem Discord-Kanal. Auch Monate später werden seine Nachrichten noch einsehbar sein.

In dieser Community sind auch Menschen aktiv, die genau wissen, wie M. heißt, sogar wo er zur Schule geht. Ist es wirklich vorstellbar, dass ihn dort im Januar niemand mit dem Angreifer Naifu in Verbindung bringt?

Weitere fünf Monate werden vergehen, bis die Polizei seine Wohnung durchsucht. Fünf Monate, in denen Naifu noch weiteren Schaden anrichtet.

Forderungen nach besserer Zusammenarbeit der Sicherheitsbehörden

Zusammenhänge zwischen einzelnen Straftaten im Bereich der Internetkriminalität würden häufig viel zu spät erkannt, sagt der stellvertretende Vorsitzende der Grünen-Fraktion im Bundestag Konstantin von Notz gegenüber netzpolitik.org. „In der Vergangenheit sind Probleme bei der Zusammenarbeit der Strafverfolgungsbehörden bei der Verfolgung entsprechender Delikte über Landesgrenzen hinweg immer wieder offen zu Tage getreten.“

Auch die Kooperation mit dem Nationalen Cyber-Abwehrzentrum funktioniere nicht so, wie sie es solle, so der Innenpolitiker. „Dass allein bei dieser Tat ein Schaden in siebenstelliger Höhe entstanden ist, zeigt, wie drängend es ist, sich endlich angemessen mit Fragen der IT-Sicherheit und der Abwehr von Angriffen zu beschäftigen – statt über Hackbacks und Co. zu sinnieren und so die wenigen wertvollen Ressourcen zu verschwenden, die wir in dem Bereich haben.“

Die stellvertretende Parteivorsitzende der Linken Martina Renner gibt gegenüber dieser Redaktion zu bedenken, ein zentraler Blick von oben garantiere keinen schnelleren Ermittlungserfolg. Aber auch sie fordert eine engere Zusammenarbeit.

„Notwendig scheint mir doch eher, dass die beteiligten Behörden sich in solchen Fällen viel schneller austauschen“, sagt Renner. „Das Ziel darf dabei nicht sein, Ermittlungen irgendwohin auszulagern, sondern Ermittlungsschritte und Erkenntnisse miteinander abzugleichen und zu koordinieren.“

Ein rätselhaftes Motiv

Ein Rätsel dürfte für die Einsatzgruppe „Welle“ lange Zeit das Motiv geblieben sein, mit dem der Unbekannte Naifu scheinbar wahllos Banken und Internetanbieter attackierte. Verdient hat er daran offenbar nicht. Nach allem, was bislang bekannt ist, blieben Lösegeldforderungen eine Ausnahme, die sich auf die Angriffe in Nigeria beschränkte.

Aber warum würde ein 16-Jähriger derartige Taten begehen? Die Staatsanwaltschaft geht davon aus, dass M. die Angriffe aus Langeweile und Einsamkeit verübt hat.

Er selbst lässt an dieser Lesart kaum Zweifel aufkommen. „Falls jemand mit mir schreiben möchte: Ich bin einsam“, steht in einem Tweet, den er ganz oben in seinem Account festgepinnt hat, dahinter ein tieftrauriges Emoticon und seine Kontaktdaten beim Messengerdienst Telegram.

Es ist derselbe Twitter-Account, mit dem Naifu die DDoS-Angriffe ankündigt. Für M. scheinen sie ein trauriger Versuch zu sein, um neue Kontakte zu knüpfen.

Zum letzten Mal schlägt er wohl am 20. Mai zu. „REDDIT TAKEN DOWN BY NAIFU“, twittert er, dazu ein Screenshot. Demnach hat er nun auch noch die große internationale Plattform Reddit angegriffen. Also ausgerechnet einen Ort, an dem Menschen in den mehr als einer Million Unterforen zusammenkommen und so etwas wie Gemeinschaften bilden. Das LKA Schleswig-Holstein will diesen Fall nicht kommentieren – wie es heißt, um laufende Ermittlungen nicht zu gefährden.

Das Botnetz könnte noch immer funktionstüchtig sein

In einem Forum, in dem M. regelmäßig aktiv war, hat er sich seinem Profil zufolge seit dem Tag der Durchsuchungen nicht mehr angemeldet. Dabei ist er, wie auch der 20-Jährige aus dem Schwarzwald, auf freiem Fuß. Das LKA sagt, es bestehe kein Haftgrund.

Bei der Auswertung des Netzwerkverkehrs, der während der Angriffe in der Gaming-Community von „SCP: Secret Laboratory“ entstanden ist, hat netzpolitik.org eine Entdeckung gemacht. Etliche IP-Adressen, die darin auftauchen, haben wir maschinell abgefragt.

In vielen Fällen sind die Geräte, die mutmaßlich mit Schadsoftware infiziert sind, noch immer am Netz. Sie werden auch weiterhin als Minecraft-Server genutzt. Das bedeutet: Naifus Botnetz könnte womöglich noch immer funktionstüchtig sein.

English Version
— DDoS attacks out of loneliness | A repost from Netzpolitik.org —

Two young men from Germany are said to have carried out DDoS attacks and caused millions of dollars in damage. One was only 16 years old. His story began in the block world of Minecraft, warning signals were many.

Already its name is bare scorn. On Twitter he calls himself Naifu911. Like the knife in Japanese, like the emergency call in the USA. “For five hours now they have not managed to stop the attack,” he writes. “Weak performance.”

It is January 7, 2020 and the attacker is mocking his victim. A so-called Distributed Denial of Service attack (DDoS) is raining down on Deutsche Kreditbank (DKB) at that time. The bank’s website is partially unavailable, and so is its online banking. This is a nuisance for the bank’s approximately four million customers, and a disaster for DKB itself.

Five months will pass before it is discovered who is behind the attacks. Last week, the security authorities reported a success. They searched the apartments of a 16-year-old in Soltau, Lower Saxony, and a 20-year-old in the Black Forest. They accuse the duo of being responsible for a whole series of such incidents.

According to research by netzpolitik.org, the younger of the two may have played the leading role, and apparently not for the first time. He is probably the person who appeared under the pseudonym Naifu. But what could have made the duo attack a bank that Tuesday evening?

Strictly speaking, the attack is aimed at Finanz Informatik Technologie Service, a company of the Sparkasse Group. It supports DKB as a service provider. The company takes measures, it reroutes data traffic, switches services in between to contain the attacks.

Visitors to the website are routed through third-party servers that promise DDoS protection. They bear the names of large companies from the IT security, SecurityDAM, Radware or Cloudflare sectors. But Naifu, an anonymous attacker at the time, is unimpressed. “As long as you don’t know how to deal with the providers, it won’t work,” he says on Twitter.

For days on end, the theater will continue and DKB will remain only partially accessible.

— Deadly fits of loneliness

Meanwhile, the attackers are probably looking for their next target, and now it is the telecommunications provider Freenet. Its website is also struggling with the burden of the attack. Naifu celebrates its success on Twitter. A service that collects fault reports documents this. “Let’s see if I can get the Sparkasse into the top 10 malfunctions of the week,” he writes.

Naifu uploads a video that shows how he also takes their information portal off the net, it’s a before-and-after comparison. Japanese music runs in the background, a woman’s voice sings about “deadly fits of loneliness”.

Anyone who watches Naifu’s attacks is attending a production. It seems like a melodramatic demonstration of power. As if everyone should see what he, Naifu, is capable of.

— A big cannon

In DDoS attacks, targets are bombarded with so many requests until they are overloaded. At some point, the line simply shuts down. Sometimes attackers make particularly computationally intensive requests, which also paralyze the server itself. In any case, visitors to a website can no longer access it as usual.

To carry out such attacks, you usually have to control a large number of devices connected to the network. DDoS attacks are therefore usually carried out with the help of so-called botnets. They consist of several devices that are infected with malware and can therefore be remotely controlled.

At the beginning of January it is obvious that Naifu also has access to such a botnet. He uses it like a big cannon with which he shoots down one target after another. How big this cannon is, he makes clear again a few days later, when he attacks another bank. He tweets: “I’ll drop by Comdirect then.” Four minutes go by, and then a flood of error messages arrive.

— Attacks on critical infrastructure

Banks belong to the so-called critical infrastructure. These are systems that are of essential importance to society. Since they are endangered by attacks from the net, the Federal Financial Supervisory Authority (BaFin) has developed the “Cyber Crisis Plan” to prepare for a large-scale attack.

“There have been few cyber attacks so far, and the banks have survived them well,” BaFin Director Raimund Röseler was recently quoted as saying in a publication by his agency. “But the threat is there. And it is growing.” According to the supervisory authority, almost 700 serious cases have become known since 2018.

The security authorities also take attacks on critical infrastructure seriously. Just how serious, Naifu will soon feel. His deeds are said to have caused millions of dollars in damage. The police have linked a total of twelve DDoS cases in Germany to him, they are investigating in five German states, and the Federal Criminal Police Office is also involved.

The threads run together in Kiel. There, the State Office of Criminal Investigation (LKA) of Schleswig-Holstein has formed the “Welle” investigation team especially for this purpose. It evaluates the traces left behind by the attacker. It traces them back. On June 16, she stands in front of her apartment door in Soltau.

In the city, which is better known for its Heide Park, the investigators meet Naifu, the 16-year-old, whose real name is M.

— A work of script kiddies?

Its alleged partner, the 20-year-old, who lives in Calw, is accused by the main public prosecutor’s office “Cybercrime” in Itzehoe of having rented a command and control server. In other words, the computer with which the duo is said to have controlled the botnet. He had already made an appearance to the police in the past in connection with so-called computer fraud.

With M. the matter is more complicated. Only investigations reveal that this escalation at the beginning of the year seems to be only the culmination of a development that apparently began years ago.

Naifu’s story is not that of a young super hacker. This is shown by the traces he himself has left on the net over the years. Acquaintances whom we have tracked down drew the picture of an unhappy teenager, who was mainly looking for a connection and went too far for that again and again.

— Attackers probably built the botnet themselves

In the hacker scene, DDoS attacks are ridiculed. It is often said that hardly any technical skill is required to execute them. In fact, botnets for such attacks can be hired from relevant websites for very little money. They are sometimes carried out by so-called script kiddies, who execute ready-made programs and thus sometimes cause enormous damage without much skill of their own.

“What the attackers have done here is ultimately trivial. It just takes a bit of hard work,” says Linus Neumann, spokesman for the Chaos Computer Club. “In the end, the question was whether the attackers could get enough starting points and bandwidth under their control to overtax their target”. Since even the largest providers have finite resources, the success of such an attack can never be completely ruled out.

The investigators of the “Wave” task force believe that M. and his comrade-in-arms may have built their own botnet to bring bank websites to their knees. The LKA will not comment on how they succeeded in this.

According to research by netzpolitik.org, the 16-year-old in particular could have been responsible for this. We have come across clear indications of what this botnet consisted of, at least in part. The findings are as surprising as can be expected for the modus operandi of a 16-year-old.

— It starts with Minecraft

Five years earlier M. is eleven years old. And like many children and teenagers, he is deeply immersed in the colorful block world of Minecraft, a computer game that gives players great freedom. They can design it according to their own wishes or explore it together with others over the net.

If that’s not enough for you, you can write your own extensions with rudimentary programming skills and impose your own will on the Minecraft world, beyond the laws of the original game physics. Many young players are attracted to this, and so they take their first steps with Minecraft. M. is one of them. As he writes in a tweet, he learns the Java programming language for the game. M. will use several Twitter accounts over the years, Naifu is not his only pseudonym.

It doesn’t take long before the first hints appear that his true interests might lie beyond this colorful block world. After several months of tinkering with the game, he changes the name of his character. In Minecraft, M. now calls himself LuminosityLink.

Maybe this is simply a coincidence. But maybe the name has inspired him. LuminosityLink, at least that was the name of a new program from the USA, which is available for 40 US dollars. It is so popular that even the FBI is interested in it: It will later arrest the developer. Because LuminosityLink is malware. It allows attackers to infect and then control devices.

— Trojan horse attack at school

As a much clearer warning signal, one must retrospectively interpret an incident caused by M. as being much more severe than he was in the seventh grade.

He infects several school computers with what the responsible district will later call multifunctional malware in an e-mail to this editor. Apparently, M. installs a so-called Trojan. As soon as teachers and classmates log on to the school computers, he can control them remotely.

The unauthorized accesses are probably discovered because he is bragging about them to a friend. So he tells about it himself on Twitter. Not for the last time will it be the bragging that gets him into serious trouble. If M. screws up, everyone seems to know about it in the end – even the authorities.

Even then, the consequences are immense. The company that maintains the school software has to come to Soltau and check the server. And according to the Lower Saxony state school authority, M.’s mother is called to the school for an interview. An employee from the district’s IT department is also there.

For M., things turn out well. According to his tweets, he receives the grade five for his “social behavior” in his semi-annual report. According to the state school authority, however, the school has decided not to file criminal charges.

— A program to cheat

“I don’t want to go to school at all, and I don’t want to sleep at the moment either,” he tweets a few weeks later in the middle of the night, one day a week. His report card, which he shares on Twitter, shows that he is only good in one subject: computer science. Meanwhile, his spare time flows into a big project called LiquidBounce.

It’s a piece of software that allows Minecraft players to join servers and cheat by unlocking new features that weren’t intended. Advantages that allow them to break the rules. Strictly speaking, it is a kind of hack.

LiquidBounce, which M. runs with a friend, is becoming a huge success in the Minecraft scene. According to a screenshot, thousands use the program every day. But in the summer of 2018, a problem is looming: Suddenly, antivirus programs probably mark LiquidBounce as malware. They think it is dangerous, there is a suspicion that LiquidBounce could in reality be a Trojan.

— Backdoors in plugins for Minecraft Servers

M. complains about it on Twitter. And he wipes those concerns aside. A malfunction, he claims in tweets. The friend with whom he maintains the software denies today to netzpolitik.org that LiquidBounce contained malware. Open source and therefore verifiable for everyone, the developers, however, make the program much later.

The suspicion that secret backdoors could have been built into LiquidBounce also arises because M. is probably working on corresponding programs in parallel. Several acquaintances report to netzpolitik.org that the teenager has provided a backdoor for other extensions for Minecraft and distributed them on common platforms. Unsuspecting players have installed them on their Minecraft servers and infected them.

If this were true, M. would have access to devices that he could control remotely. The crucial prerequisite for a botnet. Investigators believe that he and the now 20-year-old would have started building one by January 2019 at the latest.

— Blackmailing in Nigeria

During this time M. apparently develops a considerable criminal energy. For the first time his actions seem to have a financial background. According to the public prosecutor’s office, he will strike outside Germany, in West Africa, in April 2019.

There, M. attacked routers of telecommunication providers and their customers, the authority reports. The LKA says he has exploited a security hole. Internet users in Nigeria were shown a lock screen. To unlock the devices again, the attacker is said to have demanded around 100 euros in the crypto-currency Bitcoin. The public prosecutor’s office Itzehoe therefore accuses M. of commercial blackmailing.

The Nigerian telecommunications providers, which are demonstratively followed by the account Naifu on Twitter, leave requests from netzpolitik.org unanswered. The extent of the damage caused by these attacks cannot yet be determined even by the LKA.

However, M. himself seems to have concrete ideas about what he has done in the country. “All the more reason for me not only to take the providers offline there, but also to ‘hack’ all the routers and make them unusable,” he writes to a friend in a message. He boasts that the companies concerned almost went bankrupt as a result.

— The desire for destruction

netzpolitik.org there are extensive minutes of conversations that have been recorded over the years on the chat platform Discord. Partly we were able to save them ourselves, partly they were passed on to us. M. appears under different pseudonyms with different accounts, sometimes simultaneously.

In at least one case, he apparently asks himself about the attacks before the eyes of other participants. Possibly an attempt to generate further attention.

Anyone who reads M.’s messages gets to know a person who seems to feel no sympathy for the suffering of others. “For years I have done nothing but make other people’s lives difficult,” he writes. “I enjoy doing other people unnecessary work or destroying their lives.

— Attack on the YouTuber Unge (Note for the english readers: He’s a popular german YouTuber)

Wherever M. shows up, there seems to be trouble. He’s also involved in an attack on Suro, a long planned, several-day minecraft event by YouTubers Unge, who lives off the income from his videos and live streams.

Several people from M.’s team sabotage the project. With the help of a security hole they break into Unge’s Minecraft server.

A recording shows how they organize themselves on M.s Discord channel. He himself also takes part. During YouTuber livestreamt, the group posts masses of advertising messages for the LiquidBounce program in the game’s chat. Finally, it kills all the game characters with a server command.

Compared to what will start in the summer of 2019, this attack on Suro is only small stuff. M.’s destructive fury now seems to reach a new dimension. And he will probably leave the colorful Minecraft world for good. First, because he has a new favorite game. What may look like the simple hobby of a now 15-year-old will soon be a matter for the security authorities.

— DDoS attacks on an entire gaming community

“SCP: Secret Laboratory” is an indie shooter that, according to the developers, had more than 50,000 players at the time. There are several hundred servers, M. is also involved in one. Someone who is on the team of this server with M. later admits that it could have been about hindering the competition so that more people play on their own server.

For weeks, DDoS attacks are pounding on the game servers. Most German servers are affected, as Łukasz Jurczyk later says. He is responsible for IT security at the Polish developer studio Northwood.

Occasionally M. probably attacks as soon as at least two players join a game server. As he himself claims in a chat, this affects more than 500 servers.

— Botnet probably also consisted of Minecraft servers

netzpolitik.org was able to view extensive logs of network traffic generated during attacks from this series. They allow conclusions to be drawn about the sources from which the attacks originated.

We compared and randomly traced IP addresses involved in these attacks. In many cases there is clear evidence that the attacks originated from Minecraft servers. It appears that at least a portion of the botnet is actually servers that M. previously claimed to have infected with malware through rebuilt extension programs.

The internet connection of a game server should be much more powerful than a conventional internet connection at home. Many players must be able to connect to the server at the same time without any interference. These are requirements that make it particularly attractive to misuse such servers for a DDoS attack. This could explain why the botnet attacks were so effective.

— Criminal complaint in Schleswig-Holstein

Just a few days after the start of the large-scale DDoS series in the “SCP: Secret Laboratory” community, a person concerned filed a complaint with the police at his or her place of residence in Schleswig-Holstein. She also hands over a USB stick with documents she has collected, including screenshots. By the summer of 2019 at the latest, investigators will learn about the attacker with the pseudonym Naifu.

Even then, a clear indication of the offender’s profile can be found: As an avatar, Naifu uses a picture of Shiro, a character from the anime series “No Game No Life”, popular especially with teenagers. Shiro is a gamer, known for the fact that no one has ever won against her.

M. also seems to feel invincible. “The German police is pretty bad at this kind of thing,” he writes in a chat. “They didn’t manage to get me all these years – no matter how much information there was.”

Maybe that’s why he’ll take even bigger risks soon. Naifu is now attacking targets in Germany that no longer have anything to do with his computer games.

— Also Internet providers get into the line of fire

In July and August, the botnet bombards a number of local ISPs. One of the victims is TNG Stadtnetz GmbH in Kiel. One of the attacks was carried out from 5,000 different IP addresses, according to a spokesperson for the company netzpolitik.org. In the process, it reached a bandwidth of around 500 gigabits per second.

It is difficult to measure the actual effectiveness of such an attack correctly, because it depends on how many resources are available to the attack target. By comparison, the amount of data that hits two targets of TNG Stadtnetz GmbH corresponds to about 100,000 people watching an HD movie at Netflix at the same time. What may be everyday life for some providers can far exceed the capacities of others.

Three companies in Hesse are also affected. In one case, M. says on Discord that the reason for this is that a friend’s Internet bandwidth has been throttled.

He obviously likes the role of the masked avenger who causes mischief. In the status display on Discord, which normally shows which computer game users are playing, he enters the target that his botnet is currently targeting, visible to everyone.

— Speculation about a contract hacker

The 15-year-old wants to stand out, even outside his gaming community. To this end, he registers several Facebook accounts under the name Naifu. “I hope you enjoy the attack on the net,” he comments on the page for a service provider from Kassel, for example. “It will continue to run a little longer, be happy.

During this time, thousands of customers of the affected service providers are repeatedly disconnected from the net or cannot dial in at all. The economic damage caused by such failures can be immense. Defensive measures cost the Internet providers money and damage the trust of customers, who in turn include companies that are themselves dependent on the Internet.

Christopher Mandt, managing director of the Internet provider Nexiu from the Hochtaunus region, which according to a Facebook article is affected, even speculated to the Frankfurter Neue Presse newspaper in August that an unsatisfied customer might have hired a hacker to attack his company. As already in Schleswig-Holstein, the police are now starting investigations in Hesse as well.

— Months pass until investigators come across M.

It is not clear how long it really takes for the “Wave” task force to link all the tracks together. Already in January, a connection between the DDoS attacks on critical infrastructure and the attacks in the gaming community of “SCP: Secret Laboratory” is evident.

While Naifu is bombarding the DKB and the Sparkasse with his botnet, he boasts about it in a Discord channel. Even months later his messages will still be visible.

There are also people active in this community who know exactly what M.’s name is, even where he goes to school. Is it really conceivable that no one there in January will connect him with the attacker Naifu?

Another five months will pass before the police search his apartment. Five months during which Naifu will cause further damage.
Calls for better cooperation between security authorities

Connections between individual crimes in the area of Internet crime are often recognized much too late, the deputy chairman of the Green Party faction in the Bundestag Konstantin von Notz told netzpolitik.org. “In the past, problems in the cooperation of law enforcement agencies in the prosecution of corresponding crimes across state borders have repeatedly come to light openly.

The cooperation with the National Cyber-Defense Center is also not working as it should, the interior politician said. “The fact that this crime alone has caused damage in the seven-figure range shows how urgent it is to finally deal adequately with questions of IT security and the defense against attacks – instead of pondering over hackbacks and the like and thus wasting the few valuable resources we have in this area”.

Martina Renner, deputy party chairwoman of the left wing of the party, told the editorial staff that a central view from above would not guarantee a faster success of the investigation. But she also demands closer cooperation.

“It seems to me to be more necessary that the authorities involved exchange information much faster in such cases,” says Renner. “The goal must not be to outsource investigations somewhere else, but to compare and coordinate investigative steps and findings.

— An enigmatic motif

For the “Wave” task force, the motive with which the unknown Naifu apparently attacked banks and Internet providers indiscriminately remained a mystery for a long time. He obviously did not deserve any credit for this. According to all that is known so far, ransom demands remained an exception, limited to the attacks in Nigeria.

But why would a 16-year-old commit such acts? The public prosecutor’s office assumes that M. committed the attacks out of boredom and loneliness.

He himself leaves little doubt about this interpretation. “If anyone would like to write with me: I am lonely”, he says in a tweet he has pinned to the top of his account, behind it a deeply sad emoticon and his contact details at the messenger service Telegram.

It is the same Twitter account that Naifu uses to announce the DDoS attacks. For M. they seem to be a sad attempt to make new contacts.

He will probably strike for the last time on May 20. “REDDIT TAKEN DOWN BY NAIFU,” he tweets, with a screenshot. According to this he has now also attacked the big international platform Reddit. A place where people come together in the more than one million sub-forums and form something like communities. The LKA Schleswig-Holstein does not want to comment on this case – as they say, in order not to endanger ongoing investigations.

— The botnet might still be in working condition

In a forum where M. was regularly active, his profile shows that he has not registered since the day of the searches. He is at large, as is the 20-year-old from the Black Forest. The LKA says there is no reason for his arrest.

During the evaluation of network traffic generated during the attacks in the gaming community of “SCP: Secret Laboratory”, netzpolitik.org made a discovery. Several IP addresses that appear in it were queried by machine.

In many cases, the devices presumably infected with malware are still on the net. They are still used as Minecraft servers. This means: Naifu’s botnet might still be working.

Wer kennt es nicht mit den Ragekiddies und Cheatern…^^

📁Local Disk (C:)
└📁Program Files (x86)
⠀└📁steam
⠀⠀└📁steamapps
⠀⠀⠀└📁common
⠀⠀⠀⠀└📁SCP Secret Laboratory
⠀⠀⠀⠀⠀└📁Skills
⠀⠀⠀⠀⠀⠀└⚠️This folder is empty
⠀⠀⠀⠀⠀└📁 Aim
⠀⠀⠀⠀⠀⠀└⚠️This folder is empty
📁USB (D:)
└📁SCP Secret Laboratory – Cheats
⠀└⠀✅AimBot
⠀└⠀✅Chams
⠀└⠀✅Trigger
⠀└⠀✅Rage

Wir sind wieder da! =D

Hallo Leute!

Vorne weg: Danke, dass Ihr uns die Treue gehalten habt nach der langen Zeit (wie lange war das? 4-5 oder gar 6 Monate?!? o.O) , das bedeutet meinem Team und mir sehr viel, danke danke danke! =D

Die SCP:SL-Server sind wieder stabil am laufen, zwar noch etwas mau, was den Plugin-Kram angeht, aber daran arbeiten wir die naechsten Wochen in aller Ruhe. ~ Wir muessen schliesslich *EINIGES* updaten und neu machen, da der Megapatch Part 2 ja nun draussen ist! =D

Eine wichtige Sache noch: Es werden die Tage wahrscheinlich ALLE Benutzerkonten geloescht, welche NICHT zum Team gehoeren. Ansonsten muessen zu viele Personen ihr Passwort resetten.

Desweiteren werden ggf die Stammspieler-Badges zurueckgesetzt – um den Server zu “entmuellen” von inaktiven Spielern… Seid also bitte nicht boese, wenn euer Badge weg ist (die muessen so oder so erstmal neu erstellt werden… ggf kann ich noch Einiges aus den Backups ziehen, mal schauen ~)

Wie, wo und was wir machen, besprechen wir aber erstmal intern, dann schauen wir mal weiter – ich halte euch auf dem Laufenden, versprochen!

Nungut, in dem Sinne wuenschen wir euch erstmal viel Spass und eine angenehme Zeit, macht’s gut!

Euer
Lynxden-Team ฅ^•ﻌ•^ฅ

GeoBlocking – Gameserver

Hallo Leute!

Wie ihr ja wisst, leiden unsere Server seit dem 22.07.2019 unter einem nahezu andauernden DDoS – Wie auch andere (SCPSL-)Server…
Nun haben wir uns dazu entschieden, einen sogenannten Geoblocker einzuschalten – das bedeutet, dass nur IP-Adressen aus gewissen Laendern sich zu unserem Gameserver verbinden duerfen.

Weiter unten findet ihr eine Liste mit allen Laendern / Regionen, welche von uns geblockt bzw gewhitelisted wurden.

Falls jemand ausgesperrt wurde, bitten wir Dich, folgende Schritte zu unternehmen:
– Besuche https://stuff.lynxden.de/ipcheck , um deine aktuelle IP angezeigt zu bekommen.
– Melde dich per E-Mail ueber das Formular unter “Kontakt” und begruende, warum die genannte IP entblockt werden soll.
> Ich brauche unter anderem folgende Infos ueber Dich: Dein Steamprofil, deinen Discord-Account und deinen eventuellen Website-Account auf lynxden.de
– Wenn du Discord hast, kannst du auch dort mit mir in Kontakt treten und die E-Mail quasi ueberspringen.
> Dein Steamprofil muss hinterlegt sein, du musst auf unserem Server sein http://discord.lynxden.de

Danke fuer euer Verstaendnis, ich weiss das zu schaetzen!

Es gruesst
DeLynx93 | Lynxden-Community


Geoblock Infoecke:

Freigeschaltete Laender:
– Germany
– Austria
– Switzerland

– France
– Ireland
– Luxembourg
– Netherlands
– United Kingdom

Geblockte GeoLocations:
– Africa
– Asia
– North America
– South America
– Oceana
– Antarctica
Geblockte Laender A - C:
– Afghanistan
– Aland Islands
– Albania
– Algeria
– American Samoa
– Andorra
– Angola
– Anguilla
– Antarctica
– Antigua And Barbuda
– Argentina
– Armenia
– Aruba
– Asia Pacific
– Australia
– Azerbaijan
– Bahamas
– Bahrain
– Bangladesh
– Barbados
– Belarus
– Belgium
– Belize
– Benin
– Bermuda
– Bhutan
– Bolivia
– Bonaire, Saint Eustatius And Saba
– Bosnia And Herzegovina
– Botswana
– Bouvet Island
– Brazil
– British Indian Ocean Territory
– Brunei Darussalam
– Bulgaria
– Burkina Faso
– Burundi
– Cambodia
– Cameroon
– Canada
– Cape Verde
– Cayman Islands
– Central African Republic
– Chad
– Chile
– China
– Christmas Island
– Cocos (keeling) Islands
– Colombia
– Comoros
– Congo – Brazzaville
– Congo, The Democratic Republic Of The
– Cook Islands
– Costa Rica
– Cote D’ivoire
– Croatia
– Cuba
– Curacao
– Cyprus
– Czech Republic
Geblockte Laender D - F:
– Denmark
– Djibouti
– Dominica
– Dominican Republic
– Ecuador
– Egypt
– El Salvador
– Equatorial Guinea
– Eritrea
– Estonia
– Ethiopia
– European Union
– Falkland Islands (malvinas)
– Faroe Islands
– Fiji
– Finland
– French Guiana
– French Polynesia
– French Southern Territories
Geblockte Laender G - I:
– Gabon
– Gambia
– Georgia
– Ghana
– Gibraltar
– Greece
– Greenland
– Grenada
– Guadeloupe
– Guam
– Guatemala
– Guernsey
– Guinea
– Guinea-bissau
– Guyana
– Haiti
– Heard And Mc Donald Islands
– Holy See
– Honduras
– Hong Kong
– Hungary
– Iceland
– India
– Indonesia
– Iran, Islamic Republic Of
– Iraq
– Ireland
– Isle Of Man
– Israel
– Italy
Geblockte Laender J - L:
– Jamaica
– Japan
– Jersey
– Jordan
– Kazakhstan
– Kenya
– Kiribati
– Korea, Democratic People’s Republic Of
– Korea, Republic Of
– Kosovo
– Kuwait
– Kyrgyzstan
– Lao People’s Democratic Republic
– Latvia
– Lebanon
– Lesotho
– Liberia
– Libyan Arab Jamahiriya
– Liechtenstein
– Lithuania
Geblockte Laender M - O:
– Macao
– Macedonia
– Madagascar
– Malawi
– Malaysia
– Maldives
– Mali
– Malta
– Marshall Islands
– Martinique
– Mauritania
– Mauritius
– Mayotte
– Mexico
– Micronesia, Federated States Of
– Moldova, Republic Of
– Monaco
– Mongolia
– Montenegro
– Montserrat
– Morocco
– Mozambique
– Myanmar
– Namibia
– Nauru
– Nepal
– Netherlands Antilles
– New Caledonia
– New Zealand
– Nicaragua
– Niger
– Nigeria
– Niue
– Norfolk Island
– Northern Mariana Islands
– Norway
– Oman
Geblockte Laender P - R:
– Pakistan
– Palau
– Palestinian Territory
– Panama
– Papua New Guinea
– Paraguay
– Peru
– Philippines
– Pitcairn
– Portugal
– Puerto Rico
– Qatar
– Reunion
– Romania
– Russian Federation
– Rwanda
Geblockte Laender S - U:
– Saint Barthelemy
– Saint Helena
– Saint Kitts And Nevis
– Saint Lucia
– Saint Martin
– Saint Pierre And Miquelon
– Saint Vincent And The Grenadines
– Samoa
– San Marino
– Sao Tome And Principe
– Saudi Arabia
– Senegal
– Serbia
– Seychelles
– Sierra Leone
– Singapore
– Sint Maarten
– Slovakia
– Slovenia
– Solomon Islands
– Somalia
– South Africa
– South Georgia And The South Sandwich Islands
– South Sudan
– Spain
– Sri Lanka
– Sudan
– Suriname
– Svalbard & Jan Mayen Islands
– Swaziland
– Sweden
– Syrian Arab Republic
– Taiwan, Province Of China
– Tajikistan
– Tanzania, United Republic Of
– Thailand
– Timor-leste
– Togo
– Tokelau
– Tonga
– Trinidad And Tobago
– Tunisia
– Turkey
– Turkmenistan
– Turks And Caicos Islands
– Tuvalu
– Uganda
– Ukraine
– United Arab Emirates
– United States
– United States Minor Outlying Islands
– Uruguay
– Uzbekistan
Geblockte Laender V - Z:
– Vanuatu
– Venezuela
– Viet Nam
– Virgin Islands, British
– Virgin Islands, U.s.
– Wallis And Futuna Islands
– Western Sahara
– Yemen
– Zambia
– Zimbabwe

SCP:SL – Server – DDoS der letzten Tage – Eventuelle Loesung

Hallo,

Vor kurzem hat jemand damit begonnen, viele SCP:SL-Server mit UDP-Paketen zu ueberfluten. Leider ist die IP-Adresse GEFAELSCHT. Es ist das erste Paket der UDP-Verbindung, welches eine gefaelschte IP haben beinhaltet.

1. Jemand versucht, den Server mit der IP 218.93.206.28 als Angreifer zu maskieren, um den Angriff zu verursachen.
2. Da der Angreifer dies mit dieser gefaelschter IP sendet, antworten die angegriffenen Server auf die Pakete und senden die wiederum an 218.93.206.28 und verursacht dort eine UDP-Flut, die von unseren Servern gesendet wird. Der Vorgang wird als Distributed Reflection Denial of Service (DRDoS) bezeichnet.

Ich schlage vor, alle eingehenden Verbindungen von 218.93.206.28 auf euren Servern zu blockieren, um sowohl das Ueberschwemmen, als auch die Funktion als Reflektor zu zu verhindern, welcher diese IP-Adresse ueberflutet.

Linux – iptables:
sudo iptables -I INPUT -s 218.93.206.28 -j DROP
sudo iptables-save #verhindert ein Verwerfen der Regel nach einem Neustart

Linux – UFW:
sudo ufw deny from 218.93.206.28 to any

Windows:
Verwendung der Windows-Firewall


Nachtrag:
Betroffene IPs:
195.150.184.117
192.40.57.58


Dieser Text wurde aus dem englischen uebersetzt. Das Original hat zabszk#5292 auf Discord geschrieben.

SCPSL – Server – Reset der Playerstats

Hallo Leute,

leider gibt es ein Problem, was uns dazu zwingt, die Playerstats zu loeschen…
Dies beinhaltet unter anderem eure Kills, Tode, Teamkills und die aufgezeichnete Spielzeit.
Leider gibt es aktuell keine Moeglichkeit, diese neu einzutragen – aber wir geben auf Anfrage via Discord/TS3 die entsprechende Backupdatei gerne an die Spieler weiter, die sind ja nicht weg! =)

UPDATE: Ich habe mich entschlossen, das Backup frei zugaenglich zu machen fuer euch. Klickt hier und folgt der Anweisung, um eure Playerstats laden zu koennen: Klick mich

Es gruesst
DeLynx | Lynxden-Community

Spende – DKMS – 20190724 – Endlich! =)

Hallo,

wie es auf der Hosting-Site von mir beschrieben ist, spende ich immer einen Teil an gemeinnuetzige Organisationen.
Zumindest sollte es so sein, aber da es bei mir hoch und runter ging die letzte Zeit, kam ich nicht dazu…
Dies habe ich nun nachgeholt – und habe nun eine kleine Spende getaetigt.

Es gruesst
Lynx | Lynxden-Community

SCP:SL Stammspieler – 2019 – KW30

Bitte den richtigen Post nehmen fuer Antraege > Hier Klicken

Anmerkung:
Es ist Pflicht, das Steamprofil auf OEFFENTLICH stehen zu haben, damit wir entsprechend die Stunden nachvollziehen und diese mit den geloggten Stunden des Servers abgleichen koennen.

Anmerkung 2:
Alle, die abgelehnt wurden, da ihr zu unbekannt seid: Ihr habt die Chance, euch ein anderes Mal erneut zu bewerben, Kopf hoch! =D

Hallo,

es ist wieder so weit – die Stammspieler-Anfragen wurden bearbeitet^^

Gruss
Das Lynxden-Team – iA. DeLynx


Angenommen:

Dr. Albert Wesker – 76561198041646589,
Unicode/Bulium – 76561198324780862,
Admiral Creep – 76561198119310169,
Blurry – 76561198884778648,
Blizzgamer – 76561198114826756,
bernstein18 – 76561198214204549,
SCP-???? Commander Kartoffel – 76561198410562239,


Abgelehnt:

Finno – 76561198078040700 – Momentan zu unbekannt.
Dr.der hausmeister™ – 76561198852986868 – Zu oft Negativ aufgefallen.
Efexjuxix – 76561198839936095 – Momentan zu unbekannt.
Heronik – 76561198281772224 – Spieldetails nicht einsehbar.
Chaossheldon – 76561198333067823 – Spieldetails nicht einsehbar.
Lächli Der Hund [Varagoth] – 76561198201292281 – Spieldetails nicht einsehbar.
iSoulShadow – 76561198169314480 – Zu inaktiv.
Alex – 76561198401646365 – Zu inaktiv.


Entfernte Stammspieler-Badges:
Ob eine erneute Bewerbung moeglich ist, erfaehrst du hier: https://lynxden.de/stammspieler-verloren/

Russische Fee – 76561198451895541 – Ist pampig zu Usern – Zitat: “Dich mag doch eh keiner, geh doch bitte sterben!” – Oder aehnlich… Man stelle sich das mal bei einem psychisch labilen User vor…
Lounex – 76561198843654890 – Racheteamkills. Als Stammspieler sollte man das Regelwerk kennen.


Verbuggtes Unban-Request Formular… *seufz*

Hallo Allerseits!

ich habe es einfach nicht gemerkt und einige von euch abgewiesen, obwohl ich es nichtmal beabsichtigt hatte…
Das Kontaktformular fuer die Unban-Requests hatte einen kleinen Fehler… Es wurde schlicht der falsche Betreff angegeben und dementsprechend hat mein Bot alles verworfen…
Dieser Fehler sollte nun behoben sein, allerdings bitte ich euch dennoch um ein paar Sachen:

  1. Baut keinen Mist
  2. Wenn ihr Mist baut, steht dazu
  3. Befolgt die Anweisungen des entsprechenden Moderatoren / Admins
  4. Wenn ihr den Bogen ueberspannt habt, gebannt seid – nehmt es gelassen, sitzt eure Strafe ab – und/oder schickt mir einen Unban-Request, wenn ihr euren verzapften Bockmist eingesehen habt und euch an die Regeln halten wollt! =)
  5. Bitte, bitte befolgt den Leitfaden vom Kontaktformular und schreibt alles nach bestem Wissen und Gewissen auf – und bitte bleibt gelassen… Man wird euch so eher weiterhelfen! =D

Das war es dann auch schon wieder – wollte euch nur den Fehler mitteilen… *grummel*

Machts gut – oder in dem Fall besser^^
Ich wuensch euch was ~

DeLynx

 

SCP:SL – Umfrage – 20190708

Hallo ihr da! =)

Wir moechten euch ein paar Dinge fragen und mir eure Meinung einholen zu unseren SCP:SL-Servern.
Lasst uns doch bitte ein Vote und ggf einen Kommentar da, lieben Dank!

Gruss
DeLynx | Lynxden-Community

SCP:SL - Aufzuege - Wir haben ja die Aufzuege etwas beschleunigt, wie findet ihr das?
  • + | Gut, kann so bleiben 63%, 19 votes
    19 votes 63%
    19 votes - 63% of all votes
  • ~ | Bitte eine Sekunde laenger, damit es nicht fast instant ist 30%, 9 votes
    9 votes 30%
    9 votes - 30% of all votes
  • - | Ich moechte die alten Aufzuege wieder 7%, 2 votes
    2 votes 7%
    2 votes - 7% of all votes
Abstimmungen insgesamt: 30
2019.07.08
Only registered users can vote. Login to vote.
© Kama
SCP:SL - SCP079 (Computer) - Wir haben mitbekommen, dass weniger Leute SCP079 spielen wollen, da er "zu langweilig" ist... Was ist der Grund? (Maximal 2 Antworten duerfen ausgewaehlt werden)
  • Das Grinden der EXP/Level dauert viel zu lange 66%, 21 vote
    21 vote 66%
    21 vote - 66% of all votes
  • Ich finde mich mit ihm nicht zurecht 19%, 6 votes
    6 votes 19%
    6 votes - 19% of all votes
  • Die Kosten fuer einzelne Aktionen / Interaktionen sind zu hoch (bitte in die Kommentare schreiben, was genau) 16%, 5 votes
    5 votes 16%
    5 votes - 16% of all votes
Abstimmungen insgesamt: 32
Voters: 26
2019.07.08
Only registered users can vote. Login to vote.
© Kama
SCP:SL - Alpha Warhead 1 - Wie findet ihr das Timing vom Warhead?
  • + | Gut, kann so bleiben 52%, 15 votes
    15 votes 52%
    15 votes - 52% of all votes
  • ~ | es koennten ein paar Sekunden weniger sein (ca 10-15 Sekunden) 41%, 12 votes
    12 votes 41%
    12 votes - 41% of all votes
  • ~ | es koennten ei paar Sekunden mehr sein (ca 10-15 Sekunden) 7%, 2 votes
    2 votes 7%
    2 votes - 7% of all votes
Abstimmungen insgesamt: 29
2019.07.08
Only registered users can vote. Login to vote.
© Kama
SCP:SL - Alpha Warhead 2 - Wie findet ihr die Erreichbarkeit / den Zugang zum Warhead?
  • + | Gut, kann so bleiben 78%, 21 vote
    21 vote 78%
    21 vote - 78% of all votes
  • ~ | Nurnoch die O5-Karten sollen einen Zugang haben 19%, 5 votes
    5 votes 19%
    5 votes - 19% of all votes
  • ~ | Etwas Anderes (Bitte umbedingt in die Kommentare schreiben, was ihr euch vorstellt, ansonsten werden diese Votes nicht gewertet!) 4%, 1 vote
    1 vote 4%
    1 vote - 4% of all votes
Abstimmungen insgesamt: 27
2019.07.08
Only registered users can vote. Login to vote.
© Kama
SCP:SL - Alpha Warhead 3 - Wer kennt es nicht: Den Warhead stoppen... Und ggf damit nerven?
  • Die Zeit zwischen den De-Aktivierungen soll erhoeht werden - So kann der Countdown etwas weiter verstreichen 39%, 11 votes
    11 votes 39%
    11 votes - 39% of all votes
  • Es soll nichts unternommen werden - Es gehoert zum Spiel, dass er abgebrochen werden kann 39%, 11 votes
    11 votes 39%
    11 votes - 39% of all votes
  • Der Warhead soll bei... Sagen wir 30 Sekunden nicht mehr abgebrochen werden koennen (aktuell 15 Sekunden) 21%, 6 votes
    6 votes 21%
    6 votes - 21% of all votes
Abstimmungen insgesamt: 28
2019.07.08
Only registered users can vote. Login to vote.
© Kama