Mirai-Botnet mit über 400.000 IoT-Bots zu vermieten

Zwei bekannte Hacker bieten ein von ihnen geschaffenes IoT-Botnet zur Miete an. Sie wenden sich mit einer Spam-Kampagne über das Messaging-Protokoll XMPP / Jabber an potentielle Kunden und offerieren ihre Dienste. Zahlende Kunden sollen das nach ihren Angaben größte Mirai-Botnet mit mehr als 400.000 IoT-Geräten für DDoS-Angriffe einsetzen können, um Websites und Internetdienste unerreichbar zu machen.

Die Botnet-Vermieter sind unter den Namen BestBuy und Popopret bekannt. Sie standen zuvor hinter der Malware GovRAT, die für Angriffe gegen zahlreiche US-Firmen und massenhaften Datendiebstahl zum Einsatz kam. Sie gehörten außerdem zum Kern des berüchtigten Hell-Hacking-Forums.

Das Mietangebot basiert auf der Mirai-Malware, die ihre Eignung für massive DDoS-Angriffe unlängst bei einer Attacke auf den DNS-Serviceanbieter Dyn bewies. Der Angriff führte zu Störungen bei namhaften Kunden des Anbieters von Domain-Name-Service-Diensten (DNS). Unter anderen waren beliebte Websites wie AirBnB, GitHub, Spotify, Reddit und Twitter vor allem an der US-Ostküste für mehrere Stunden nicht erreichbar.

Die Schadsoftware Mirai ist auf das Internet der Dinge (IoT, Internet of Things) ausgerichtet. Sie nutzt Geräte wie Überwachungskameras oder auch mit dem Internet verbundene Heizungssteuerungen und Babyphones. Die Malware sucht nach internetfähigen Geräten, die mit öffentlich bekannten voreingestellten Anmeldedaten ausgeliefert werden, und übernimmt so die Kontrolle über diese Geräte. Da viele Anwender die Passwörter nicht ändern, sind zahlreiche Geräte angreifbar und lassen sich für ganz andere als ihre vorgesehenen Zwecke nutzen.

Der ursprüngliche Mirai-Autor veröffentlichte den Quellcode Anfang Oktober und machte damit auch anderen möglich, solche IoT-Botnets zu schaffen. Sicherheitsexperten nehmen an, dass er damit seine eigenen Spuren verwischen wollte. Inzwischen sprangen tatsächlich andere Hacker auf den Zug auf und bauten damit weitere Botnets.

Die Hintermänner des jetzt zur Miete angebotenen Botnets behaupten, dass sie die Malware noch erheblich verbessert haben. Zum einen konnten sie die ursprüngliche Einschränkung auf maximal 200.000 Bots aufheben, da Mirai zunächst nur auf Geräte mit offenen Telnet-Ports zugriff, die zudem eine von 60 Kombinationen von Benutzername und Passwort aufweisen mussten. Die Hacker fügten die Option hinzu, Brute-Force-Attacken über SSH auszuführen. Sie geben außerdem an, zusätzlich Zero-Day-Lücken für Angriffe zu nutzen. Ihre Malware soll außerdem über Funktionen verfügen, mit denen sie Anti-DDoS-Maßnahmen umgehen kann.

Den Sicherheitsexperten von BleepingComputer gelang es, mit den Botnet-Betreibern Kontakt aufzunehmen. BestBuy und Popopret gaben willig einige Informationen preis, wollten aber nicht alle Fragen beantworten, um ihre Infrastruktur zu schützen. Nach ihren Angaben ist die Miete des Botnets nicht eben günstig. Der Preis ist demnach abhängig von der Anzahl der eingesetzten Bots und der Angriffsdauer. Nachlass gibt es für „DDoS Cooldown“ – wenn zwischen laufenden DDoS-Angriffen eine kurze Pause eingelegt wird, was eine effizientere Nutzung der Bots erlaubt. Als Preisbeispiel nannten die Hacker 3000 bis 4000 Dollar für eine zweiwöchige DDoS-Kampagne mit 50.000 Bots.

Die Angaben von BestBuy und Popopret konnten bislang nicht verifiziert werden. Den Sicherheitsforschern 2sec4u und MalwareTech, die die Entwicklung von Mirai-Botnets verfolgen, erscheinen sie aber glaubhaft. Die meisten von diesen seien relativ klein, aber eines davon falle durch seine massive Größe auf: „Sie haben mehr Bots als alle anderen Mirai-Botnets zusammen.“

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

8 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

12 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

13 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

14 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

14 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

16 Stunden ago