Sicherheitsblogger Brian Krebs auf der Spur des Mirai-Botnet-Entwicklers

Der investigative Journalist und Sicherheitsblogger Brian Krebs ist sicher, den Hauptentwickler des Mirai-Botnet-Quellcodes und mindestens einen Helfer entlarvt zu haben. In einem über 50.000 Zeichen langen Blogeintrag breitet er seine monatelangen Recherchen und die verblüffenden Ergebnisse aus. Er war offensichtlich persönlich motiviert, da seine eigene Website KrebsOnSecurity im September 2016 mittels Mirai für fast vier Tage unerreichbar gemacht wurde.

Massive DDoS-Angriffe (Distributed Denial of Service) mit bis zu 620 GBit/s sorgten dabei dafür, dass das Content Delivery Network Akamai ihm weitere Unterstützung aufkündigte, da es Kosten in Millionenhöhe verursachen könnte. Daraufhin sprang Googles Schutzprogramm Project Shield ein, das unabhängigen Nachrichtenangeboten, Journalisten und Bürgerrechtlern einen kostenlosen und effektiven DDoS-Schutz anbietet. Brian Krebs begann seine Karriere bei der Washington Post, beschäftigte sich schon lange als investigativer Reporter mit Sicherheitsthemen und machte sich damit in einschlägigen Kreisen unbeliebt – was auch die Angriffe erklärte.

Die Schadsoftware Mirai ermöglicht Botnetze, die IoT-Geräte wie Überwachungskameras oder auch mit dem Internet verbundene Heizungssteuerungen und Babyphones nutzen. Zahlende Kunden können ein solches Botnet mieten und für massive DDoS-Attacken einsetzen. Inzwischen sind dabei weitere Anbieter im Spiel, da der Mirai-Autor den Quellcode öffentlich gemacht hat – vermutlich um selbst weniger leicht aufgespürt zu werden.

Ein Angriff mit einem solchen Internet-der-Dinge-Botnet führte unter anderem zu Störungen bei Spotify, AirBnB, TitHub, Reddit und Twitter. Daran beteiligt waren mehrere zehn Millionen IP-Adressen, was vor allem an der US-Ostküste Websites des DNS-Serviceanbieters Dyn lahmlegte. Der Angriff auf Dyn wurde als der bisher größte in der Geschichte der USA eingestuft.

Brian Krebs stieß bei seinen Recherchen darauf, dass die Mirai-Malware nicht etwa plötzlich entstand, sondern tatsächlich die jüngste Inkarnation einer IoT-Botnet-Familie war. Die Malware-Vorläufer liefen dabei unter verschiedenen Namen wie Bashlite, Gafgyt, Qbot, Remaiten und Torlus. Sie waren schon seit fast drei Jahren in der Entwicklung und wurden auch breit genutzt.

Diese Erkenntnis war der Schlüssel, um die Herkunft von Mirai in einer Hackerszene zu verorten, die Minecraft-Server angriff und damit ein lukratives Geschäft mit den Spielern störte. Die Betreiber eines solchen Servers konnten bis zu mehr als 50.000 Dollar monatlich verdienen, was Cyberkriminelle zur Erpressung mit DDoS-Angriffen verleitete.

Der Sicherheitsblogger stieß auf zahlreiche Einzelheiten, die ihn davon überzeugten, dass hinter dem Pseudonym „Anna-Senpai“ des Mirai-Autors der 20-jährige Paras Jha aus dem US-Bundesstaat New Jersey steckt. Jha hatte selbst Minecraft-Server betrieben, um dann als President von ProTraf Solutions unternehmerisch auf den Schutz von Minecraft-Servern vor DDoS-Angriffen umzusteigen. DDoS-Angriffe mit Mirai soll Jha dabei eingesetzt haben, um Konkurrenten zu schaden und Kunden für seine eigene Firma zu gewinnen. Zu dieser Annahme trugen äußerst akribische Recherchen in Hackerforen und zahlreiche Interviews mit anderen Beteiligten bei.

„Wir sind dabei, uns zu restrukturieren und neu auszurichten“, heißt es in einer knappen Stellungnahme der offenbar nicht mehr aktiven Firma ProTraf. Paras Jha selbst bestritt vehement, Mirai geschrieben zu haben. Auch habe er nichts mit den auffallend häufigen DDoS-Angriffen auf die Rutgers University zu tun gehabt, an der er studierte. Den Sicherheitsblogger Krebs beschimpfte er in seiner Antwort außerdem als „Soziopathen“.

Die Bezeichnung Mirai für die Schadsoftware ist offenbar von der japanischen Manga-Comic-Serie Mirai Nikki abgeleitet. Das Pseudonym Anna-Senpai wiederum bezog der Mirai-Autor von der gleichnamigen Anime-Figur.

[mit Material von Matthew Broersma, TechWeekEurope.co.uk]