AWS und Behörden zerschlagen weltweit größtes DDoS-Botnetz Kimwolf

Eine koordinierte internationale Strafverfolgungsoperation hat vier leistungsstarke DDoS-Botnetze vom Netz genommen. Im Mittelpunkt steht Kimwolf, das mit Spitzenwerten von bis zu 30 Terabit pro Sekunde als das größte jemals dokumentierte Botnetz dieser Art gilt. An der Aktion waren neben mehreren US-Bundesbehörden auch Strafverfolgungsbehörden aus Kanada und Deutschland sowie zahlreiche Technologieunternehmen – darunter Amazon Web Services – beteiligt. Die Operation markiert einen der bislang umfangreichsten koordinierten Eingriffe gegen kriminelle DDoS-Infrastruktur weltweit.

Was sind DDoS-Botnetze?

Bei einem Distributed-Denial-of-Service-Angriff (DDoS) werden Zielserver oder Netzwerke mit einer Flut von Anfragen überhäuft, bis sie unter der Last zusammenbrechen. Die dafür benötigte Angriffskraft stammt in der Regel aus sogenannten Botnetzen – Netzwerken aus tausenden oder Millionen von Geräten, die zuvor unbemerkt mit Schadsoftware infiziert wurden. Die betroffenen Gerätebesitzer wissen in den meisten Fällen nichts von der Kompromittierung ihres Systems.

Ausmaß der Operation

Das US-Justizministerium hat gemeinsam mit internationalen Strafverfolgungsbehörden und Technologieunternehmen die Infrastruktur von insgesamt vier IoT-Botnetzen zerschlagen:

• Kimwolf – mit über zwei Millionen infizierten Geräten das bislang größte DDoS-Botnetz weltweit
• Aisuru – das Botnetz mit der höchsten Anzahl ausgegebener Angriffsbefehle
• JackSkid – nutzte dieselbe Infektionsmethode wie Kimwolf
• Mossad – kleineres Botnetz innerhalb desselben kriminellen Ökosystems

Bis März 2026 hatten die Botnetz-Betreiber weltweit mehr als drei Millionen Geräte unter ihre Kontrolle gebracht, darunter Hunderttausende in den USA allein. Zum Vergleich: Frühere Botnetze dieser Art umfassten typischerweise weniger als 100.000 Geräte – Kimwolf operierte in einem rund 20-fach größeren Umfang und erzielte Angriffsbandbreiten von bis zu 30 Terabit pro Sekunde, ein Volumen, das weltweit nur wenige Netzwerke mit ihrer Infrastruktur abfangen können.

Technisches Vorgehen: Ein neuer Infektionsweg

Kimwolf unterschied sich von herkömmlichen Botnetzen durch einen neuartigen Infektionsansatz. Statt das offene Internet systematisch nach verwundbaren Systemen abzusuchen, nutzte das Netzwerk kompromittierte Geräte in Heimnetzwerken als Einstiegspunkt in eigentlich abgeschirmte lokale Netzwerke. Konkret wurden dabei unter anderem folgende Gerätekategorien infiziert:

• Streaming-TV-Boxen und Set-Top-Boxen
• Digitale Videorekorder (DVR)
• Webkameras und IP-Kameras
• WLAN-Router

Durch diesen Ansatz konnten die Betreiber Geräte erreichen, die normalerweise durch Heimrouter und Firewalls von externen Zugriffen abgeschirmt sind. Die Nutzung privater Proxy-Netzwerke als Angriffsvektor stellte eine technische Weiterentwicklung gegenüber bekannten Methoden dar. Das Botnetz JackSkid übernahm im Anschluss dieselbe Technik, um ebenfalls seine Reichweite auf Millionen von Geräten auszuweiten.

Der Defense Criminal Investigative Service (DCIS) vollstreckte im Rahmen der Operation Beschlagnahmungsbeschlüsse gegen mehrere in den USA registrierte Internetdomains, virtuelle Server und weitere Infrastrukturkomponenten, die mutmaßlich für DDoS-Angriffe auf Netzwerke des US-Verteidigungsministeriums eingesetzt wurden.

Cybercrime-as-a-Service: Das Geschäftsmodell

Die Botnetz-Betreiber vermarkteten ihre Infrastruktur nach dem Prinzip „Cybercrime-as-a-Service“: Der Zugriff auf die gekaperten Geräte wurde entgeltlich an andere Kriminelle weitergegeben, die damit nach Bedarf DDoS-Angriffe starten konnten – ohne selbst technisches Wissen über den Aufbau der Infrastruktur zu benötigen. In einer Reihe von Fällen wurden die Angriffe mit Erpressungsforderungen an die betroffenen Organisationen verknüpft.

Den Gerichtsunterlagen zufolge wurden über die vier Botnetze folgende Angriffsvolumen ausgegeben:

• Aisuru: mehr als 200.000 DDoS-Angriffsbefehle
• JackSkid: mehr als 90.000 DDoS-Angriffsbefehle
• Kimwolf: mehr als 25.000 DDoS-Angriffsbefehle
• Mossad: mehr als 1.000 DDoS-Angriffsbefehle

Betroffene Organisationen berichteten von Schäden und Wiederherstellungskosten in Höhe von jeweils mehreren Zehntausend US-Dollar pro Angriff.

Rolle von AWS

Amazon Web Services war nicht nur passiver Informationslieferant, sondern aktiv in die Ermittlungen eingebunden. Die Beiträge umfassten:

• Identifizierung der Command-and-Control-Infrastruktur (C2) der Botnetze
• Reverse Engineering der eingesetzten Schadsoftware, um deren Funktionsweise und Verbreitungswege zu verstehen
• Strukturierte Weitergabe der gewonnenen Erkenntnisse an Strafverfolgungsbehörden und andere Industriepartner

AWS betonte, dass Bedrohungsakteure dieser Art nicht nur einzelne Kunden, sondern das Internet als Infrastruktur insgesamt beeinträchtigen – und dass eine effektive Reaktion nur durch enge Zusammenarbeit zwischen Industrie und Behörden möglich ist.

Beteiligte Behörden und Industriepartner

Strafverfolgungsseitig waren an der internationalen Operation beteiligt:

• USA: Department of Justice (DOJ), Defense Criminal Investigative Service (DCIS / DoDIG), FBI-Außenstelle Anchorage
• Deutschland: Bundeskriminalamt (BKA), Staatsanwaltschaft Köln – Zentrale Ansprechstelle Cybercrime NRW (ZAC NRW)
• Kanada: Royal Canadian Mounted Police (RCMP), Ontario Provincial Police (OPP), Sûreté du Québec (SQ)
• Europa: PowerOFF-Team von Europol, niederländische Polizei

Aus der Industrie unterstützten unter anderem:

• Akamai, Cloudflare, DigitalOcean, Lumen, Nokia
• Google, Oracle, PayPal, Sony Interactive Entertainment
• Sicherheitsspezialisten wie SpyCloud, Team Cymru, Unit 221B, Shadowserver Foundation und XLAB

Einordnung und Ausblick

Die Operation zeigt, dass groß angelegte Botnetz-Infrastrukturen zunehmend nur noch durch koordinierte Zusammenarbeit über Unternehmens- und Ländergrenzen hinweg effektiv bekämpft werden können. Die beteiligten Behörden und Unternehmen betonten, dass der rasche Austausch von Bedrohungsinformationen entscheidend für den Erfolg war. AWS kündigte an, seine Teams für Bedrohungsanalyse weiterzuentwickeln und weiterhin mit internationalen Partnern zusammenzuarbeiten, um kriminelle Infrastrukturen frühzeitig zu identifizieren und zu zerschlagen.

Für Sie ausgewählt

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk