Managament , Fachartikel

Dem Mirai-Entwickler auf der Spur

Dem Mirai-Entwickler auf der Spur

Im letzten Security Journal beschäftigte sich der Artikel „Gefährdet IoT das Internet?“ insbesondere mit dem für einige massive DDoS-Angriffe genutzten Botnet Mirai. Dieses steht exemplarisch für eine neue Art von extrem gefährlichen Tools, die immens hohe Datenraten für ihre Angriffe nutzen. Hierzu werden abertausender von einfachsten IoT-(Internet-of-Things)-Geräten übernommen und zur Überflutung der ausgewählten Ziele ausgenutzt. Mirai wurde Ende September 2016 zum ersten Male wahrgenommen, als die Website des Sicherheitsspezialisten und Bloggers Brian Krebs Opfer eines DDoS-Angriffs wurde. Dieser versuchte anschließend, den Erzeugern von Mirai auf die Spur zu kommen. Sein Vorgehen hierbei ist hoch interessant und seine dabei gewonnenen Erkenntnisse beleuchten exemplarisch kriminelle Teile des Internets. Eine schöne Crime Story.

Nach dem ersten gesicherten Auftreten von Mirai war sehr schnell klar, dass Hacker dieses riesige Botnet Mirai aus Smart Devices aller Art aufgebaut hatten. Schlecht abgesicherte IoT-Geräte wie Überwachungskameras, digitale Videorecorder oder private Router wurden übernommen und zu DDoS-Angriffen genutzt. Der Sourcecode von Mirai wurde dann zu allem Überfluss auch noch Ende September 2016 weltweit bekannt gemacht (siehe Abbildung-1). Der Urheber „outete“ sich hierbei unter dem Pseudonym Anna-Senpai und sorgte mit der Freigabe des Codes für eine Vielzahl von Nachahmungstätern.

 


Abbildung-1: Veröffentlichung des Mirai-Codes (Quelle: [1])

 

Brian Krebs fühlte sich davon wohl stark herausgefordert und investierte in den folgenden Monaten nach eigenen Angaben hunderte Stunden in seine Recherchen nach dem Verursacher von Mirai. Die dabei gemachten Erfahrungen zeigen deutlich auf, wie schwierig es den Strafverfolgungsbehörden gemacht wird, solchen Kriminellen das Handwerk zu legen. In aller Regel verfügen sie weder über die Zeit und schon gar nicht über die fachliche Expertise, um erfolgreich zu sein. Beides hatte anscheinend Brian Krebs im Überfluss.

 

Beginn der Jagd

Die ersten Spuren zur Aufnahme der Verfolgung ergaben sich, als sich herausstellte, dass Mirai nur das letzte Glied in einer Kette von Entwicklungen für IoT-Botnets war. Die Ursprünge ließen sich bis ins Jahr 2013 zurückverfolgen und umfassten Malware mit so schönen Namen wie Bashlite, Gafgyt, Qbot, Remaiten und Torlus. Auch hier wurden bereits bevorzugt schlecht geschützte IoT-Geräte angegriffen, offensichtlich leichte Opfer zur Übernahme und Nutzung als Zombies in einem Botnet. Unsichere Default Settings der Geräte und leicht zu erratene Passwörter (oft sogar unveränderte Standard-Passwörter) boten die einfachsten Möglichkeiten zur Übernahme.

 

Auffällig war, dass die bevorzugten Ziele der Angreifer Webserver waren, die als Hoster für das populäre Computerspiel Minecraft dienten. Die millionenfache Verbreitung (aktuell 122 Mio verkaufte Versionen) dieses Spiels bescherte den Betreibern der Webserver monatlich erhebliche Einnahmen durch die übliche Methode die Nutzer durch in-game Verkäufe zur Kasse zu bitten. Es ist leicht vorstellbar, dass die Betreiber sehr darauf bedacht sind, ihre User zu halten und nicht an andere Betreiber zu verlieren. Genau aus diesem Grunde gibt es Anbieter wie z.B. ProxyPipe in San Francisco, die sich darauf spezialisiert haben, Minecraft-Server insbesondere vor DDoS-Angriffen zu schützen. Im Jahre 2014 gab es dann die ersten großen DDoS-Attacken gegen verschiedene von ProxyPipe (ISP Verisign) geschützte Minecraft-Server mit über 300gbs von >100.000 manipulierten IoT-Systemen. Dahinter steckten Angreifer, die offensichtlich sehr eng mit anderen Betreibern von Minecraft-Servern zusammenarbeiteten, um denen neue Kunden zuzutreiben. Kurze Zeit später wurde Brian Krebs dann selber Opfer eines massiven DDoS-Angriffs mit bis dahin nicht erreichten 620 Gbps. Vermutlich war das darauf zurückzuführen, dass er in einem Blogartikel über die letzten DDoS-Attacken auf Minecraft-Server auch Verursacher namentlich genannt hatte.

 

Wenige Tage nach dem Angriff auf Brian Krebs ging es dann schon gegen ein ganzes Unternehmen. Es gab einen DDoS-Angriff mit Mirai auf den französischen Internet-Dienstleister OVH, dabei wurden insgesamt bis zu 1,1 Tbps bei dem Überflutungsangriff gemessen. Die nächste Steigerung ließ dann nicht lange auf sich warten. Am 21. Oktober 2016 kam es zu mehreren DDoS-Angriffen auf den amerikanischen DNS-Dienstleister Dyn. Dyn betreibt nicht nur den Service DynDNS zur dynamischen Aktualisierung von Domain-Einträgen, sondern ist auch Provider für die klassischen DNS-Systeme vieler US-Konzerne. Die Angriffe betrafen damit u.a. auch die Websites einiger großer Anbieter wie Amazon, GitHub, Netflix, PayPal, Reddit, Spotify und Twitter, die dadurch zeitweise nicht zu erreichen waren. Dies erregte natürlich eine weltweit große Aufmerksamkeit.

 

Ohne das endgültig beweisen zu können, ging Brian Krebs nach diversen ihm zugetragenen Informationen davon aus, dass hinter den Angriffen die Hackergruppe „lelddos“ stehen müsste. Enge Verbindungen zum Minecraft-Konkurrenten ProTraf Solutions legten den Schluss nahe, dass hier ein erbitterter Kampf um Kunden zwischen den Anbietern von Minecraft-Servern im Gange war.

 

Suche nach dem Mirai-Autoren

In diese ersten Erkenntnisse passte auch, dass ein Mitarbeiter von Pro Traf Solutions nachweisbar und nach eigenem Bekunden der Entwickler von einigen Mirai-Vorversionen war, die er u.a. auch auf dem Marktplatz der Hacker hackforums.net  veröffentlicht hatte. Er selber stritt jede Beteiligung an den letzten DDoS-Angriffen ab und hatte nach kurzer Zeit auch die Firma verlassen. Neben ihm der einzige Mitarbeiter und Besitzer von Pro Traf war der 20-jährige Paras Jha, Interessantes ergab sich für Brian Krebs aus dem Studium der LinkedIn Einträge von Paras Jha: „His skillset for software development includes C#, Java, Golang, C, C++, PHP, x86 ASM, not to mention web ‘browser languages’ such as Javascript and HTML/CSS.” Zudem hatte er längere Zeit für einen Betreiber von Minecraft-Servern gearbeitet. Das Skillset an Programmiersprachen kam Brian Krebs irgendwie bekannt vor. Und siehe da: genau diese Skills hatte der Autor von Mirai unter dem Decknamen Anna-Senpai auf hackforums.net für sich angegeben, zumindest Golang ist eher weniger verbreitet. Eine Analyse weiterer Einträge von Anna-Senpai auf hackforums.net zeigte auch die Vorliebe, anderen Botnet-Betreibern anzudrohen, dass seine neueste Kreation Teile enthalten würde, die andere bekannte Infektionen auf IoT-Geräten beseitigen würde. Genau diese Eigenschaft zeigte sich später auch bei Mirai.

 

 

 

Abbildung-2: Eintrag auf Hack Forums zur Beseitigung von qbot-Infektionen

Weitere Recherchen, basierend auf hinterlassenen Spuren im Internet, ergaben einige neue Anhaltspunkte zur Aufdeckung der Identität von Anna-Senpai. Paras Jha hatte nach eigenem Bekunden der Gaming-Community unter dem Namen dreadiscool einiges an freiem Code zur Verfügung gestellt. Dieser Username fand sich auch in vielen anderen Foren rund um Programmierung und Minecraft. Der User regte sich besonders auf über die vielen DDoS-Angriffe auf Minecraft-Server und in späteren Posts entschied er sich anscheinend sein nun gewachsenes Know-how in die Gründung einer Firma einzubringen, die Minecraft-Server vor DDoS-Attacken schützen sollte. Weitere Recherchen nach dem User dreadiscoll ergaben dann auch Hinweise darauf, dass er ein großer Anhänger von japanischen Anime-Filmen war. Ein besonders von ihm bevorzugter Film trägt den Titel Mirai Nikki. Da hätten wir also die vermutliche Herkunft des Namens des untersuchten Botnets. 

 

                            
Abbildung-3: Namensgeber für das Mirai-Botnet (Quelle: http://ww1.gogoanime.io)


Nachdem ProxyPipe durch die anhaltenden DDoS-Attacken gegen ihre Kunden, die so langsam alle zur Konkurrenz abzuwandern drohten, in finanzielle Schieflage zu kommen drohte, nutzten sie ihre vermeintlich letzte Möglichkeit: sie erhoben Missbrauchsbeschwerde gegen die Internet-Provider, die dem Control-Server zur Steuerung des Mirai-Botnets Connectivity zur Verfügung stellten. Durch eigene Recherchen hatte ProxyPipe herausgefunden, dass sich der Control-Server in der Ukraine befand. Gehostet und mit Connectivity versorgt von einem Provider, der schon länger bekannt dafür war, Botnet Control-Server zu hosten. Die Bitte, den Mirai Control-Server abzuschalten, fand aber beim Hoster keinerlei Resonanz. Erst die gleiche Aufforderung bei ISPs, die wiederum den unwilligen Provider mit Internet-Bandbreite versorgten, führte dann zum Unterbinden der Aktivitäten des Control-Servers. Damit konnten die infizierten IoT-Geräte keine Verbindung mehr zum Control-Server aufnehmen und die Angriffsbandbreite von Mirai reduzierte sich drastisch auf nur noch 80 Gbps. Diese geringere Belastung konnte ProxyPipe dann aber selber abwehren.

 

Dieses Vorgehen zur Abschaltung oder Schwächung von Mirai erzürnte den Verursacher Anna_Senpai offensichtlich enorm. Durch weitere Informationen konnte Brian Krebs aber herausfinden, dass dieser früher selber ähnliche Verfahren angewandt hatte, um andere Botnet-Betreiber von ihrem für ihn störenden Vorgehen abzuhalten. Hauptadressat war das schon erwähnte Botnet Qbot. Durch veröffentlichte Warnungen an mehrere Provider und Hosting-Firmen vor der Duldung von Qbot Control-Servern wollte Anna_Senpai anscheinend unliebsame Konkurrenz bei der eigenen Übernahme von IoT-Geräten loswerden. Adressaten, die dieser Aufforderung nicht umgehend nachkamen, sahen sich plötzlich selber massiven Angriffen durch Mirai ausgesetzt.

 

Ein weiteres Indiz ergab sich aus Angriffen Ende Dezember 2015 auf die Rutgers University. Dies wurde Opfer von wiederholten DDoS-Angriffen, der Verursacher firmierte nunmehr unter dem Pseudonym og_richard_stallman (Anmerkung Richard Stallman ist der Gründer der Free Software Foundation). Auffällig dabei war, dass auch der in Verdacht geratene Paras Jha zu der Zeit Student an der University war. Mindestens 5 massive DDoD-Attacken wurden gegen Rutgers gefahren, immer verbunden mit dem Angebot gegen Zahlung von Bitcoins diese zu stoppen. War da jemand auf eine lukrative Geschäftsidee gekommen?

 

Abbildung-4: Vernetzung der Mirai-Beteiligten (Quelle: techcrunch.com)

 

Enthüllen der Identität

Gegen Ende der Recherchen von Brian Krebs wurde der Verdacht über die Identität von Anna_Senpai dann fast zur Gewissheit. Ein ehemaliger Mitarbeiter bei Pro Traf bestätigte, dass Paras Jha ihm gegenüber mit den Angriffen auf Rutgers und andere Ziele geprahlt hatte. Die Veröffentlichung des Mirai-Codes hatte allein den Zweck, die bereits angelaufenen FBI-Ermittlungen auf falsche Fährten zu locken. Dies alles ist natürlich auf vielen Vermutungen und unbelegten Informationen aufgebaut und würde keiner ernsthaften juristischen Prüfung standhalten. Durch den Artikel aufgeschreckt, hat aber kurze Zeit nach der Veröffentlichung das FBI Ermittlungen aufgenommen und Paras Jha einvernommen. Bisher sind keine weiteren Aktionen bekannt geworden.

 

Fazit

Die Recherchen von Brian Krebs zeigen exemplarisch auf, wie fließend die Übergänge zwischen Anbietern kommerzieller Dienste, hier Minecraft und DDoS-Beschützer, und Angreifern mit der Absicht viel Geld zu verdienen, sein können. Sich gegenseitig die Kunden abzujagen, indem man die Konkurrenten arbeitsunfähig macht, ist schon hoch kriminell. Die vermeintlichen Schützer vor DDoS-Angriffen sind selber die Verursacher derselben. Übrigens keine ganz neue Vermutung, diese gibt es schon lange unterschwellig für die Anbieter von Virenscannern. Der Einblick in Interna der Hackerszene zeigt ebenfalls erschreckend auf, wie einfach es für halbwegs versierte Hacker ist, an Tools oder Programmteile zu gelangen, mit denen man dann viel Unheil anrichten kann. Die bisher ermittelten Datenraten bei DDoS-Angriffen sind bereits so groß, dass sie nicht nur einige Minecraft-Server außer Gefecht setzen können, sondern bald auch Teile des Internets. Eine erschreckende Aussicht.

 

Autor: Detlef Weidenhammer, GAI NetConsult GmbH

 


Literatur

[1] DDoS on Dyn Impacts Twitter, Spotify, Reddit, Brian Krebs,
https://krebsonsecurity.com/2016/10/ddos-on-dyn-impacts-twitter-spotify-reddit/, 10/2016

[2] Who is Anna-Senpai, the Mirai Worm Author?, Brian Krebs, https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/, 01/2017
[3] Gefährdet IoT das Internet?, SecurityJournal der GAI NetConsult #88, 12/2016

 

 

 

Diesen Artikel empfehlen

Mirai-Botnet mit 400.000 Bots zu mieten

Man kann z.B. EasyDNS als Backup-Provider für die Hauptdomains nutzen und vermindert das Risiko, durch einen Ausfall des einzigen DNS-Providers in Mitleidenschaft gezogen zu werden. Amazon hat diese Lektion jetzt gelernt: Mirai-Botnet mit 400.000 Bots zu mieten Mirai-Botnetze sind zu mieten. In...

IoT = Internet of Things oder eher Internet of Troubles

++ Lieber IT-Verantwortlicher, diese Worte sind jetzt an Dich direkt gerichtet. Nimm Dir Urlaub. Nimm Dir Zeit zum Nachdenken und schau, dass Du weiterkommst. ++ „9.271 crucial vulnerabilities found in 185 firmware images of embedded devices.“             ...