Sicherheitsblogger Brian Krebs auf der Spur des Mirai-Botnet-Entwicklers

Der investigative Journalist ist nach monatelangen Recherchen überzeugt, den Autor der Malware entlarvt zu haben. Motiviert haben ihn dabei massive Mirai-Attacken, die seine eigene Website unerreichbar machten. Das IoT-Botnet Mirai war auch am bislang größten DDoS-Angriff in den USA beteiligt.

Der investigative Journalist und Sicherheitsblogger Brian Krebs ist sicher, den Hauptentwickler des Mirai-Botnet-Quellcodes und mindestens einen Helfer entlarvt zu haben. In einem über 50.000 Zeichen langen Blogeintrag breitet er seine monatelangen Recherchen und die verblüffenden Ergebnisse aus. Er war offensichtlich persönlich motiviert, da seine eigene Website KrebsOnSecurity im September 2016 mittels Mirai für fast vier Tage unerreichbar gemacht wurde.

DDoS (Bild: Shutterstock/Evlakhov Valeriy)

Massive DDoS-Angriffe (Distributed Denial of Service) mit bis zu 620 GBit/s sorgten dabei dafür, dass das Content Delivery Network Akamai ihm weitere Unterstützung aufkündigte, da es Kosten in Millionenhöhe verursachen könnte. Daraufhin sprang Googles Schutzprogramm Project Shield ein, das unabhängigen Nachrichtenangeboten, Journalisten und Bürgerrechtlern einen kostenlosen und effektiven DDoS-Schutz anbietet. Brian Krebs begann seine Karriere bei der Washington Post, beschäftigte sich schon lange als investigativer Reporter mit Sicherheitsthemen und machte sich damit in einschlägigen Kreisen unbeliebt – was auch die Angriffe erklärte.

Die Schadsoftware Mirai ermöglicht Botnetze, die IoT-Geräte wie Überwachungskameras oder auch mit dem Internet verbundene Heizungssteuerungen und Babyphones nutzen. Zahlende Kunden können ein solches Botnet mieten und für massive DDoS-Attacken einsetzen. Inzwischen sind dabei weitere Anbieter im Spiel, da der Mirai-Autor den Quellcode öffentlich gemacht hat – vermutlich um selbst weniger leicht aufgespürt zu werden.

Ein Angriff mit einem solchen Internet-der-Dinge-Botnet führte unter anderem zu Störungen bei Spotify, AirBnB, TitHub, Reddit und Twitter. Daran beteiligt waren mehrere zehn Millionen IP-Adressen, was vor allem an der US-Ostküste Websites des DNS-Serviceanbieters Dyn lahmlegte. Der Angriff auf Dyn wurde als der bisher größte in der Geschichte der USA eingestuft.

Brian Krebs stieß bei seinen Recherchen darauf, dass die Mirai-Malware nicht etwa plötzlich entstand, sondern tatsächlich die jüngste Inkarnation einer IoT-Botnet-Familie war. Die Malware-Vorläufer liefen dabei unter verschiedenen Namen wie Bashlite, Gafgyt, Qbot, Remaiten und Torlus. Sie waren schon seit fast drei Jahren in der Entwicklung und wurden auch breit genutzt.

Diese Erkenntnis war der Schlüssel, um die Herkunft von Mirai in einer Hackerszene zu verorten, die Minecraft-Server angriff und damit ein lukratives Geschäft mit den Spielern störte. Die Betreiber eines solchen Servers konnten bis zu mehr als 50.000 Dollar monatlich verdienen, was Cyberkriminelle zur Erpressung mit DDoS-Angriffen verleitete.

Der Sicherheitsblogger stieß auf zahlreiche Einzelheiten, die ihn davon überzeugten, dass hinter dem Pseudonym „Anna-Senpai“ des Mirai-Autors der 20-jährige Paras Jha aus dem US-Bundesstaat New Jersey steckt. Jha hatte selbst Minecraft-Server betrieben, um dann als President von ProTraf Solutions unternehmerisch auf den Schutz von Minecraft-Servern vor DDoS-Angriffen umzusteigen. DDoS-Angriffe mit Mirai soll Jha dabei eingesetzt haben, um Konkurrenten zu schaden und Kunden für seine eigene Firma zu gewinnen. Zu dieser Annahme trugen äußerst akribische Recherchen in Hackerforen und zahlreiche Interviews mit anderen Beteiligten bei.

Umfrage

Welchen Stellenwert hat Nachhaltigkeit für IT-Anschaffungen Ihres Unternehmens?

Ergebnisse anzeigen

Loading ... Loading ...

„Wir sind dabei, uns zu restrukturieren und neu auszurichten“, heißt es in einer knappen Stellungnahme der offenbar nicht mehr aktiven Firma ProTraf. Paras Jha selbst bestritt vehement, Mirai geschrieben zu haben. Auch habe er nichts mit den auffallend häufigen DDoS-Angriffen auf die Rutgers University zu tun gehabt, an der er studierte. Den Sicherheitsblogger Krebs beschimpfte er in seiner Antwort außerdem als „Soziopathen“.

Die Bezeichnung Mirai für die Schadsoftware ist offenbar von der japanischen Manga-Comic-Serie Mirai Nikki abgeleitet. Das Pseudonym Anna-Senpai wiederum bezog der Mirai-Autor von der gleichnamigen Anime-Figur.

[mit Material von Matthew Broersma, TechWeekEurope.co.uk]

WEBINAR

SSL Best Practices: Security Beyond Certificates

Mit diesem Webinar möchten wir Sie über sämtliche Möglichkeiten informieren, die Sie für einen ausreichenden Schutz ihrer IT-Infrastruktur benötigen. Im Mittelpunkt stehen dabei bewährte SSL Best Practices.

Themenseiten: Malware, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitsblogger Brian Krebs auf der Spur des Mirai-Botnet-Entwicklers

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *