Der anonyme Betreiber von Archive.today setzt Besucher seiner Internetseite in einer Distributed-Denial-of-Service-Attacke (DDoS) unwissentlich gegen einen finnischen Blogger ein. Auf einer Vorschaltseite, die per Google reCaptcha Bots fernhalten soll, ist JavaScript versteckt, das im Browser des Nutzers alle 300 Millisekunden eine HTTP-Anfrage an die Seite Gyrovague.com richtet. Hintergrund der Attacke ist offenbar ein missliebiger Blogpost des Betroffenen. Hinter der attackierten URL verbirgt sich der Blog des Finnen Janni Patokallio, der im Jahr 2023 in einem Beitrag Ergebnisse einer Recherche über Archive.today veröffentlicht hatte. Deutsche Nutzer, die Archive.today verwenden, bewegen sich dadurch in einer rechtlichen Grauzone und könnten sich strafbar machen, sagt ein Fachanwalt für IT-Recht.

Gegenüber einem Sicherheitsforscher erklärte der Betreiber von Archive.today, dass die DDoS-Attacke dazu diene, die Hosting-Kosten des Finnen „etwas“ in die Höhe zu treiben. Er fühle sich durch dessen Blogpost „gedoxxed“ und reagiere mit der DDoS-Attacke darauf. In dem offiziellen Tumblr-Blog von Archive.today, in das vor Kurzem nach zwei Jahren Pause erstmals wieder gepostet wurde, werden Patokallio und seine Familie scharf attackiert. In dem Post werden wirre Zusammenhänge zwischen Patokallio, einer angeblichen Nazi-Vergangenheit seines Großvaters, Waffenhandel und der Ukraine hergestellt.

Sperren gegen Medienunternehmen

Der Betreiber von Archive.today war für heise online über die auf der Seite angegebene E-Mail-Adresse nicht zu erreichen. In seinem Tumblr-Blog schreibt er, dass er Büros des Verlags Condé Nast gesperrt habe, weil diese „Propaganda“ über seinen Dienst veröffentlicht hätten. Von einer solchen Sperre ist seit einigen Tagen offenbar auch heise online betroffen. Aus dem Firmennetz ist die Seite nicht mehr aufrufbar, E-Mails an den Betreiber können nicht zugestellt werden. Stein des Anstoßes bei heise online ist offenbar ein Bericht vom November 2025, in dem es um Ermittlungen von US-Behörden gegen Archive.today ging.

In diesem Bericht wurde auch der Blogpost von Janni Patokallio erwähnt und verlinkt. Dieser erklärt darin unter anderem, dass Archive.today ein Botnetz mit wechselnden IP-Adressen betreibt, um Abwehrmaßnahmen gegen das Scraping zu umgehen. Mit Archive.today können frühere Versionen einer Website aufgerufen werden, in vielen Fällen aber auch Bezahlschranken von Publikationen umgangen werden. Patokallio schrieb außerdem, dass der oder die Betreiber in Russland sitzen – eine These, die im Netz allerdings umstritten ist.

So reagiert der Betroffene

Janni Patokallio erklärte in seinem Blog, dass ihm die DDoS-Attacke finanziell nichts ausmache, da er ein Webhosting zum Pauschalpreis nutze. Hinzu kommt, dass Adblocker wie uBlock Origin die DDoS-Anfragen inzwischen blockieren. Der Attacke war offenbar eine E-Mail des Archive.today-Betreibers vorausgegangen, die er zunächst übersehen habe. Als er schließlich antwortete, habe ihn der Betreiber mit rufschädigenden Maßnahmen bedroht.

Mit seiner Aktion bringt der Betreiber von Archive.today möglicherweise auch Nutzer aus Deutschland in rechtliche Schwierigkeiten. DDoS-Angriffe sind strafbar. „Wenn man nun arglos in einen solchen Angriff verwickelt wird, kann das mangels Vorsatz schon nicht strafrechtlich relevant sein; wenn man aber sowohl hinsichtlich des Angriffs als auch hinsichtlich seines eigenen Förderungsbeitrags in Form des Aufrufens des Formulars erkennt und billigend in Kauf nimmt, dass sich dies als unterstützender Bestandteil realisiert, läge eine Straftat vor“, ordnete der IT-Anwalt Jens Ferner die rechtliche Situation auf Anfrage von heise online ein. Zwar sei es in der Praxis eher so, dass eine strafrechtliche Verfolgung wegen des Aufwands nicht erfolgen wird. Allerdings dürfte das Bekanntwerden der Attacke durch Medienberichte dazu beitragen, dass ein Vorsatz leichter nachzuweisen ist.

Ferner weist auf einen anderen Nebeneffekt hin: Dadurch, dass Archive.today die Nutzer unwissentlich die URL des finnischen Bloggers aufrufen lässt, werden deren IP-Adressen an diesen übertragen. Dies könnte ein Angriffspunkt für die Verfolgung von Urheberrechtsverletzungen sein.

(mki)

Nutzen Angreifer eine Sicherheitslücke in BeyondTrust Remote Support oder Privileged Remote Access erfolgreich aus, können sie Systeme vollständig kompromittieren. Aktuelle Versionen sind gegen mögliche Attacken gerüstet. Bislang gibt es keine Hinweise darauf, dass Angreifer die Schwachstelle bereits ausnutzen.

Die Gefahr

Aus einer Warnmeldung geht hervor, dass Remote Support bis einschließlich Ausgabe 25.3.1 und Privileged Remote Access bis einschließlich Version 24.3.4 angreifbar sind. Die Entwickler geben an, Remote Support 25.3.2 und Privileged Remote Access 25.1.1 abgesichert zu haben. Bei SaaS-Kunden seien die Sicherheitsupdates schon installiert. Admins von On-Premises-Instanzen müssen die Patches selbst installieren. Der Support für Remote Support vor 21.3 und Privileged Remote Access vor 22.1 ist ausgelaufen und es gibt keine Sicherheitspatches mehr. Hier ist ein Upgrade fällig.

Mit dem Patchen sollten Admins nicht zu lange warten, schließlich können Angreifer über die Lücke (CVE-2026-1731 „kritisch“) Schadcode auf Systeme schieben. Das klappt für entfernte Angreifer ohne Authentifizierung mit speziellen Client-Anfragen.

(des)

Zum wiederholten Male haben es Angreifer auf Systeme mit der Ticketing-Software SolarWinds Web Help Desk (WHD) abgesehen. Nach erfolgreichen Attacken ist davon auszugehen, dass PCs vollständig kompromittiert sind. Sicherheitspatches stehen zum Download bereit.

Hintergründe

Erst kürzlich warnte die US-Sicherheitsbehörde CISA vor Attacken auf eine „kritische“ Schadcode-Lücke (CVE-2025-40551). Nun haben Sicherheitsforscher von Huntress und Microsoft Attacken auf eine weitere Schadcode-Lücke (CVE-2025-26399 „kritisch“) dokumentiert. Diese Schwachstelle wurde bereits im September vergangenen Jahres öffentlich bekannt.

Die Lücke klafft in der AjaxProxy-Komponente und Angreifer sollen sie aus der Ferne und ohne Authentifizierung ausnutzen. Im Anschluss können sie Schadcode im Hostsystem ausführen. Nach erfolgreichen Attacken verankern sich Angreifer mit einer Hintertür in Systemen. Dafür sollen sie legitime Anwendungen wie das Remote-Monitoring-und-Management-Tool Zoho ManageEngine missbrauchen. Zusätzlich versuchen die Angreifer, den Virenscanner Defender und die Firewall unter Windows zu deaktivieren.

Admins sollten sicherstellen, dass sie mindestens die gegen diese Attacke abgesicherte SolarWinds-WHD-Ausgabe 2026.1 installiert haben. Alle vorigen Versionen sollen verwundbar sein. Weitere Informationen zum Aktualisieren von Instanzen haben die SolarWinds-Entwickler in einem Beitrag zusammengetragen.

Überdies empfehlen die Sicherheitsforscher, den Admin-Zugriff nicht öffentlich erreichbar zu machen. Geht das nicht anders, muss ein VPN-Tunnel Verbindungen schützen. Außerdem sollten Admins alle Zugangsdaten zurücksetzen.

(des)