Sicherheitsblogger Brian Krebs auf der Spur des Mirai-Botnet-Entwicklers

Der investigative Journalist und Sicherheitsblogger Brian Krebs ist sicher, den Hauptentwickler des Mirai-Botnet-Quellcodes und mindestens einen Helfer entlarvt zu haben. In einem über 50.000 Zeichen langen Blogeintrag breitet er seine monatelangen Recherchen und die verblüffenden Ergebnisse aus. Er war offensichtlich persönlich motiviert, da seine eigene Website KrebsOnSecurity im September 2016 mittels Mirai für fast vier Tage unerreichbar gemacht wurde.

Massive DDoS-Angriffe (Distributed Denial of Service) mit bis zu 620 GBit/s sorgten dabei dafür, dass das Content Delivery Network Akamai ihm weitere Unterstützung aufkündigte, da es Kosten in Millionenhöhe verursachen könnte. Daraufhin sprang Googles Schutzprogramm Project Shield ein, das unabhängigen Nachrichtenangeboten, Journalisten und Bürgerrechtlern einen kostenlosen und effektiven DDoS-Schutz anbietet. Brian Krebs begann seine Karriere bei der Washington Post, beschäftigte sich schon lange als investigativer Reporter mit Sicherheitsthemen und machte sich damit in einschlägigen Kreisen unbeliebt – was auch die Angriffe erklärte.

Die Schadsoftware Mirai ermöglicht Botnetze, die IoT-Geräte wie Überwachungskameras oder auch mit dem Internet verbundene Heizungssteuerungen und Babyphones nutzen. Zahlende Kunden können ein solches Botnet mieten und für massive DDoS-Attacken einsetzen. Inzwischen sind dabei weitere Anbieter im Spiel, da der Mirai-Autor den Quellcode öffentlich gemacht hat – vermutlich um selbst weniger leicht aufgespürt zu werden.

Ein Angriff mit einem solchen Internet-der-Dinge-Botnet führte unter anderem zu Störungen bei Spotify, AirBnB, TitHub, Reddit und Twitter. Daran beteiligt waren mehrere zehn Millionen IP-Adressen, was vor allem an der US-Ostküste Websites des DNS-Serviceanbieters Dyn lahmlegte. Der Angriff auf Dyn wurde als der bisher größte in der Geschichte der USA eingestuft.

Brian Krebs stieß bei seinen Recherchen darauf, dass die Mirai-Malware nicht etwa plötzlich entstand, sondern tatsächlich die jüngste Inkarnation einer IoT-Botnet-Familie war. Die Malware-Vorläufer liefen dabei unter verschiedenen Namen wie Bashlite, Gafgyt, Qbot, Remaiten und Torlus. Sie waren schon seit fast drei Jahren in der Entwicklung und wurden auch breit genutzt.

Diese Erkenntnis war der Schlüssel, um die Herkunft von Mirai in einer Hackerszene zu verorten, die Minecraft-Server angriff und damit ein lukratives Geschäft mit den Spielern störte. Die Betreiber eines solchen Servers konnten bis zu mehr als 50.000 Dollar monatlich verdienen, was Cyberkriminelle zur Erpressung mit DDoS-Angriffen verleitete.

Der Sicherheitsblogger stieß auf zahlreiche Einzelheiten, die ihn davon überzeugten, dass hinter dem Pseudonym „Anna-Senpai“ des Mirai-Autors der 20-jährige Paras Jha aus dem US-Bundesstaat New Jersey steckt. Jha hatte selbst Minecraft-Server betrieben, um dann als President von ProTraf Solutions unternehmerisch auf den Schutz von Minecraft-Servern vor DDoS-Angriffen umzusteigen. DDoS-Angriffe mit Mirai soll Jha dabei eingesetzt haben, um Konkurrenten zu schaden und Kunden für seine eigene Firma zu gewinnen. Zu dieser Annahme trugen äußerst akribische Recherchen in Hackerforen und zahlreiche Interviews mit anderen Beteiligten bei.

Loading ...

„Wir sind dabei, uns zu restrukturieren und neu auszurichten“, heißt es in einer knappen Stellungnahme der offenbar nicht mehr aktiven Firma ProTraf. Paras Jha selbst bestritt vehement, Mirai geschrieben zu haben. Auch habe er nichts mit den auffallend häufigen DDoS-Angriffen auf die Rutgers University zu tun gehabt, an der er studierte. Den Sicherheitsblogger Krebs beschimpfte er in seiner Antwort außerdem als „Soziopathen“.

Die Bezeichnung Mirai für die Schadsoftware ist offenbar von der japanischen Manga-Comic-Serie Mirai Nikki abgeleitet. Das Pseudonym Anna-Senpai wiederum bezog der Mirai-Autor von der gleichnamigen Anime-Figur.

[mit Material von Matthew Broersma, TechWeekEurope.co.uk]

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

1 Woche ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

1 Woche ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

2 Wochen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

2 Wochen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

2 Wochen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

2 Wochen ago