Mirai-Botnet mit über 400.000 IoT-Bots zu vermieten

Zwei bekannte Hacker bieten ein von ihnen geschaffenes IoT-Botnet zur Miete an. Sie wenden sich mit einer Spam-Kampagne über das Messaging-Protokoll XMPP / Jabber an potentielle Kunden und offerieren ihre Dienste. Zahlende Kunden sollen das nach ihren Angaben größte Mirai-Botnet mit mehr als 400.000 IoT-Geräten für DDoS-Angriffe einsetzen können, um Websites und Internetdienste unerreichbar zu machen.

Die Botnet-Vermieter sind unter den Namen BestBuy und Popopret bekannt. Sie standen zuvor hinter der Malware GovRAT, die für Angriffe gegen zahlreiche US-Firmen und massenhaften Datendiebstahl zum Einsatz kam. Sie gehörten außerdem zum Kern des berüchtigten Hell-Hacking-Forums.

Das Mietangebot basiert auf der Mirai-Malware, die ihre Eignung für massive DDoS-Angriffe unlängst bei einer Attacke auf den DNS-Serviceanbieter Dyn bewies. Der Angriff führte zu Störungen bei namhaften Kunden des Anbieters von Domain-Name-Service-Diensten (DNS). Unter anderen waren beliebte Websites wie AirBnB, GitHub, Spotify, Reddit und Twitter vor allem an der US-Ostküste für mehrere Stunden nicht erreichbar.

Die Schadsoftware Mirai ist auf das Internet der Dinge (IoT, Internet of Things) ausgerichtet. Sie nutzt Geräte wie Überwachungskameras oder auch mit dem Internet verbundene Heizungssteuerungen und Babyphones. Die Malware sucht nach internetfähigen Geräten, die mit öffentlich bekannten voreingestellten Anmeldedaten ausgeliefert werden, und übernimmt so die Kontrolle über diese Geräte. Da viele Anwender die Passwörter nicht ändern, sind zahlreiche Geräte angreifbar und lassen sich für ganz andere als ihre vorgesehenen Zwecke nutzen.

Der ursprüngliche Mirai-Autor veröffentlichte den Quellcode Anfang Oktober und machte damit auch anderen möglich, solche IoT-Botnets zu schaffen. Sicherheitsexperten nehmen an, dass er damit seine eigenen Spuren verwischen wollte. Inzwischen sprangen tatsächlich andere Hacker auf den Zug auf und bauten damit weitere Botnets.

Die Hintermänner des jetzt zur Miete angebotenen Botnets behaupten, dass sie die Malware noch erheblich verbessert haben. Zum einen konnten sie die ursprüngliche Einschränkung auf maximal 200.000 Bots aufheben, da Mirai zunächst nur auf Geräte mit offenen Telnet-Ports zugriff, die zudem eine von 60 Kombinationen von Benutzername und Passwort aufweisen mussten. Die Hacker fügten die Option hinzu, Brute-Force-Attacken über SSH auszuführen. Sie geben außerdem an, zusätzlich Zero-Day-Lücken für Angriffe zu nutzen. Ihre Malware soll außerdem über Funktionen verfügen, mit denen sie Anti-DDoS-Maßnahmen umgehen kann.

Den Sicherheitsexperten von BleepingComputer gelang es, mit den Botnet-Betreibern Kontakt aufzunehmen. BestBuy und Popopret gaben willig einige Informationen preis, wollten aber nicht alle Fragen beantworten, um ihre Infrastruktur zu schützen. Nach ihren Angaben ist die Miete des Botnets nicht eben günstig. Der Preis ist demnach abhängig von der Anzahl der eingesetzten Bots und der Angriffsdauer. Nachlass gibt es für „DDoS Cooldown“ – wenn zwischen laufenden DDoS-Angriffen eine kurze Pause eingelegt wird, was eine effizientere Nutzung der Bots erlaubt. Als Preisbeispiel nannten die Hacker 3000 bis 4000 Dollar für eine zweiwöchige DDoS-Kampagne mit 50.000 Bots.

Die Angaben von BestBuy und Popopret konnten bislang nicht verifiziert werden. Den Sicherheitsforschern 2sec4u und MalwareTech, die die Entwicklung von Mirai-Botnets verfolgen, erscheinen sie aber glaubhaft. Die meisten von diesen seien relativ klein, aber eines davon falle durch seine massive Größe auf: „Sie haben mehr Bots als alle anderen Mirai-Botnets zusammen.“