An einem Freitagnachmittag im Oktober 2016 wurden die schlimmsten Befürchtungen seit Jahren mahnender Sicherheitsexperten war: Eine massive "Distributed Denial of Service"-Attacke (DDoS) zwang bedeutende Teil des Internets in die Knie, oder sorgte zumindest dafür, dass so mancher populäre Service stundenlang nicht mehr zu erreichen war. Doch was damals von manchen gar für das Werk staatlicher Spione mit gezieltem Zerstörungsauftrag gehalten wurde, hatte wesentlich profanere Hintergründe, wie sich nun offenbart.

Mirai

Die Attacken des MIrai-Botnets waren nicht dazu gedacht, dem Internet als Ganzes Schaden zuzufügen. Viel mehr hatten dessen Entwickler ein sehr spezifisches Ziel: Server für das beliebte Open-World-Spiel Minecraft. Dies haben die Schaffer von Mirai, drei US-amerikanische Studenten, mittlerweile vor einem US-Gericht gestanden, wie Wired berichtet.

Vorgeschichte

Erste Hinweise auf Mirai waren im Sommer 2016 aufgetaucht: Unter Sicherheitsforschern machten Berichte die Runde, dass ein neues Botnet alles bisher dagewesene in den Schatten stellen soll. Und dies sollte sich schnell bewahrheiten: Innerhalb der ersten 20 Stunden brachte Mirai 65.000 Geräte unter seiner Kontrolle, schon bald danach war diese Zahl auf 200.000 bis 300.000 angewachsen, am Höhepunkt der Infektionsrate waren es 600.000 Geräte, die die Angreifer unter ihre Kontrolle gebracht hatten, und dazu nutzen, um mittels massiven Anfragen die jeweiligen Ziel-Server in die Knie zu zwingen.

Überlegung

Die Idee hinter Mirai war dabei nicht ganz neu: Man machte sich schlicht die erbärmlich schlechte Sicherheitslage rund um viele Geräte des Internets der Dinge zunutze. Statt sich mit dem aufwändigen – und fehleranfälligen – Ausnutzen von Sicherheitslücken auszunutzen, probierte Mirai also schlicht bekannte Default-Login und -Passwort-Kombinationen von Routern, IP-Kameras und Co. aus. Man setzte also darauf, dass die User diese Einstellungen nie verändert hatten, oder die Hersteller dies in einigen Fällen gar nicht ermöglichten – und dies mit großem Erfolg, wie sich zeigen sollte.

First Blood

Der erste Mirai-Angriff stellte alles bislang Dagewesene in den Schatten: Mit 1,1 Tbit/s wurde der französische Hoster OVH vom Netz genommen. Ein Volumen, das für Verblüffung sorgte, beschränkten sich DDoS-Attacken doch meist auf ein Volumen von 10 bis 20 Gbit/s. Gegen ein Volumen von mehr als 1 Tbit/s gab es aber kein Rezept mehr. Was die Attacken ebenfalls besonders gefährlich machte: Sie zielten nicht auf eine einzelne IP-Adresse sondern auf einen ganzen Bereich ab, wodurch wirklich alle Dienste des Anbieters vom Netz waren. Die sich an dem Tag entfaltende Kraft scheint dabei auch dessen Entwickler überrascht zu haben. Das Botnet erregte jedenfalls wesentlich stärkeres Interesse als erhofft. Denn eigentlich wollte man in aller Ruhe ein Geschäft rund um gezielte Attacken gegen Minecraft-Server aufbauen.

Minecraft-Kämpfe

Die drei Studenten waren dabei auch nicht die ersten, die diese Idee hatten. Schon in den Monaten zuvor hatten Angriffe gegen Minecraft-Server immer stärker zugenommen. Grund dafür: Der Betrieb eines solchen Servers ist ein äußerst einträgliches Geschäft, entsprechend gibt es einen regen Wettkampf um die Gunst der aktuell rund 55 Millionen aktiven Minecraft-Spieler. Dies verleitete so manchen Betreiber dazu regelmäßig DDoS-Attacken gegen die Konkurrenz in Auftrag zu geben, um dessen Kunden zu verjagen, und so in die eigenen Arme zu treiben. Und das lassen sich die DDoS-Dienste natürlich sehr gut bezahlen, ein einträgliches Geschäft an dem auch die Mirai-Macher mitnaschen wollten.

Dass dabei ausgerechnet OVH zum ersten Ziel auserkoren wurde, war natürlich auch kein Zufall: Der französische Hoster bot unter anderem spezielle Services zum Schutz vor solchen Angriffe an, hier sollte also ein Zeichen gegen einen Gegner gesetzt werden.

Gegen einen Sicherheitsforscher

Das nächste prominente Ziel war dann Sicherheitsforscher Brian Krebs, der immer wieder über DDoS-Angriffe und das einträgliche Geschäft damit berichte hatte, und dabei auch den Hintermännern nachspürte. Die Attacke gegen Krebs zeigte dabei nicht zuletzt, wie wenig Abhilfe es gegen einen Angriff von solche einem Volumen gibt: Denn eigentlich war die Seite von Krebs durch einen entsprechenden Dienst von Akamai gesichert, den das Unternehmen aber kurz nach dem Start der Attacken zurückzog. Der Grund: Es hätte sonst negative Auswirkungen auf die Services anderer – und im Gegensatz zu Krebs: zahlende – Kunden gegeben.

Open Source

Zu diesem Zeitpunkt war das FBI den Entwicklern von Mirai allerdings längst auf der Spur. Auch die Minecraft-Verbindung war längst aufgefallen, als man bei Analysen herausfand, dass entsprechende Server in den Mirai-Attacken verblüffend stark repräsentiert waren. Die Mirai-Entwickler selbst hatten sich unterdessen zu einem Schritt entschlossen, der zahlreiche Nachahmer auf den Plan rufen sollte: Ende September wurde Mirai im Quellcode veröffentlicht, konnte also leicht von Dritten übernommen und angepasst werden.

Was folgte war ein rascher Wettlauf zwischen Angreifern und freundlich gesinnten Hackern, die das Internet vor der verheerenden Macht von Mirai schützen wollten. Manche entschlossen sich dabei sogar dazu Mirai-infizierte Geräte selbst zu übernehmen, um das Botnet zu entfernen und Sicherheitslücken abzuschließen. Anderer hingegen wollten lieber selbst die Kontrolle über diese Geräte erlangen.

Die Dyn-Attacke

Der Höhepunkt der Mirai-Attacken sollte aber erst Ende Oktober folgen: Eine massiver Angriff gegen den großen IT-Dienstleister Dyn und dessen DNS (Domain Name Server)-Dienste – und damit eines besonders verwundbaren Teils des Internets – führte zu weltweiten Web-Ausfällen. DNS-Services sind dazu da, die Namen über die die Nutzer Webseiten im Browser eintippen mit den dahinter stehenden IP-Adressen zu verbinden, vereinfacht gesprochen wissen die Daten bei einem solchen Angriff also nicht mehr, wo sie hinsollen. Wer hinter der Attacke gegen Dyn steht, ist bisher übrigens unklar, die jetzt Angeklagten bestreiten dies jedenfalls.

Nur kurz nach dem FBI hatte übrigens auch einer direkt Betroffenen die Mirai-Macher identifiziert: Bereits Anfang Jänner 2017 machte Sicherheitsforscher Krebs die Namen von zwei der drei jetzt Angeklagten publik, die er über eigene Recherchen aufgespürt hatte. Abzuwarten bleibt, wie das Gericht nun über die Studenten urteilen wird, angesichts der Zerstörungskraft von Mirai ist aber mit harten Urteilen zu rechnen, der Prozess ist derzeit noch im Gange.

Ausblick

Auch wenn Mirai selbst seinen Höhepunkt längst hinter sich hat, ist es wohl nur eine Frage der Zeit, bis ein Nachfolger ähnlich verheerende Macht entfalten kann. Hat sich doch die Sicherheit im Internet der Dinge seitdem nicht wesentlich verbessert, wie ein aktueller Vorfall demonstriert. Erst vor zwei Wochen machte ein neues Botnet namens Satori die Runde: Diesem gelang es innerhalb von 12 Stunden mehr als eine Viertel Million Geräte zu infizieren. (apo, 14.12.2017)