Management , Fachartikel

Dem Mirai-Entwickler auf der Spur

Dem Mirai-Entwickler auf der Spur

Im letzten Security Journal beschäftigte sich der Artikel „Gefährdet IoT das Internet?“ insbesondere mit dem für einige massive DDoS-Angriffe genutzten Botnet Mirai. Dieses steht exemplarisch für eine neue Art von extrem gefährlichen Tools, die immens hohe Datenraten für ihre Angriffe nutzen. Hierzu werden abertausender von einfachsten IoT-(Internet-of-Things)-Geräten übernommen und zur Überflutung der ausgewählten Ziele ausgenutzt. Mirai wurde Ende September 2016 zum ersten Male wahrgenommen, als die Website des Sicherheitsspezialisten und Bloggers Brian Krebs Opfer eines DDoS-Angriffs wurde. Dieser versuchte anschließend, den Erzeugern von Mirai auf die Spur zu kommen. Sein Vorgehen hierbei ist hoch interessant und seine dabei gewonnenen Erkenntnisse beleuchten exemplarisch kriminelle Teile des Internets. Eine schöne Crime Story.

Nach dem ersten gesicherten Auftreten von Mirai war sehr schnell klar, dass Hacker dieses riesige Botnet Mirai aus Smart Devices aller Art aufgebaut hatten. Schlecht abgesicherte IoT-Geräte wie Überwachungskameras, digitale Videorecorder oder private Router wurden übernommen und zu DDoS-Angriffen genutzt. Der Sourcecode von Mirai wurde dann zu allem Überfluss auch noch Ende September 2016 weltweit bekannt gemacht (siehe Abbildung-1). Der Urheber „outete“ sich hierbei unter dem Pseudonym Anna-Senpai und sorgte mit der Freigabe des Codes für eine Vielzahl von Nachahmungstätern.

 


Abbildung-1: Veröffentlichung des Mirai-Codes (Quelle: [1])

 

Brian Krebs fühlte sich davon wohl stark herausgefordert und investierte in den folgenden Monaten nach eigenen Angaben hunderte Stunden in seine Recherchen nach dem Verursacher von Mirai. Die dabei gemachten Erfahrungen zeigen deutlich auf, wie schwierig es den Strafverfolgungsbehörden gemacht wird, solchen Kriminellen das Handwerk zu legen. In aller Regel verfügen sie weder über die Zeit und schon gar nicht über die fachliche Expertise, um erfolgreich zu sein. Beides hatte anscheinend Brian Krebs im Überfluss.

 

Beginn der Jagd

Die ersten Spuren zur Aufnahme der Verfolgung ergaben sich, als sich herausstellte, dass Mirai nur das letzte Glied in einer Kette von Entwicklungen für IoT-Botnets war. Die Ursprünge ließen sich bis ins Jahr 2013 zurückverfolgen und umfassten Malware mit so schönen Namen wie Bashlite, Gafgyt, Qbot, Remaiten und Torlus. Auch hier wurden bereits bevorzugt schlecht geschützte IoT-Geräte angegriffen, offensichtlich leichte Opfer zur Übernahme und Nutzung als Zombies in einem Botnet. Unsichere Default Settings der Geräte und leicht zu erratene Passwörter (oft sogar unveränderte Standard-Passwörter) boten die einfachsten Möglichkeiten zur Übernahme.

 

Auffällig war, dass die bevorzugten Ziele der Angreifer Webserver waren, die als Hoster für das populäre Computerspiel Minecraft dienten. Die millionenfache Verbreitung (aktuell 122 Mio verkaufte Versionen) dieses Spiels bescherte den Betreibern der Webserver monatlich erhebliche Einnahmen durch die übliche Methode die Nutzer durch in-game Verkäufe zur Kasse zu bitten. Es ist leicht vorstellbar, dass die Betreiber sehr darauf bedacht sind, ihre User zu halten und nicht an andere Betreiber zu verlieren. Genau aus diesem Grunde gibt es Anbieter wie z.B. ProxyPipe in San Francisco, die sich darauf spezialisiert haben, Minecraft-Server insbesondere vor DDoS-Angriffen zu schützen. Im Jahre 2014 gab es dann die ersten großen DDoS-Attacken gegen verschiedene von ProxyPipe (ISP Verisign) geschützte Minecraft-Server mit über 300gbs von >100.000 manipulierten IoT-Systemen. Dahinter steckten Angreifer, die offensichtlich sehr eng mit anderen Betreibern von Minecraft-Servern zusammenarbeiteten, um denen neue Kunden zuzutreiben. Kurze Zeit später wurde Brian Krebs dann selber Opfer eines massiven DDoS-Angriffs mit bis dahin nicht erreichten 620 Gbps. Vermutlich war das darauf zurückzuführen, dass er in einem Blogartikel über die letzten DDoS-Attacken auf Minecraft-Server auch Verursacher namentlich genannt hatte.

<< Erste < Vorherige 1 2 3 4 5 6 Nächste > Letzte >>

Diesen Artikel empfehlen

Mirai-Botnet mit 400.000 Bots zu mieten

Man kann z.B. EasyDNS als Backup-Provider für die Hauptdomains nutzen und vermindert das Risiko, durch einen Ausfall des einzigen DNS-Providers in Mitleidenschaft gezogen zu werden. Amazon hat diese Lektion jetzt gelernt: Mirai-Botnet mit 400.000 Bots zu mieten Mirai-Botnetze sind zu mieten. In...

IoT = Internet of Things oder eher Internet of Troubles

++ Lieber IT-Verantwortlicher, diese Worte sind jetzt an Dich direkt gerichtet. Nimm Dir Urlaub. Nimm Dir Zeit zum Nachdenken und schau, dass Du weiterkommst. ++ „9.271 crucial vulnerabilities found in 185 firmware images of embedded devices.“             ...