Der Mirai-Entwickler Anna-senpai und die Minecraft-Server-Kriege
Das IoT-Botnetz Mirai ist eins der mächtigsten Botnetze in der Geschichte von DDoS-Angriffen. Eine faszinierende Recherche beleuchtet nun, wo dessen Schadcode her kam: Die Kleinkriege unter Minecraft-Server-Betreibern sind Schuld.
Mit Minecraft-Servern lässt sich viel Geld verdienen, dementsprechend werden sie recht oft das Ziel von DDoS-Angriffen.
- Fabian A. Scherschel
Der unabhängige Security-Journalist Brian Krebs hat die Ergebnisse seiner Recherche zur Identität des Mirai-Entwicklers vorgelegt. Krebs hat nach eigenen Angaben "hunderte Stunden" recherchiert und präsentiert zahlreiche Indizien, die darauf hinzudeuten scheinen, dass der unter dem Pseudonym "Anna-senpai" bekannte Mirai-Schöpfer der Chef einer kleinen Anti-DDoS-Firma aus New Jersey ist, die sich auf die Verteidigung von Minecraft-Servern spezialisiert hat.
Die Wurzeln Mirais reichen bis 2014 zurück
Das Internet-of-Things-Botnetz Mirai war im September 2016 zum ersten Mal ans Licht der Öffentlichkeit getreten, als dessen Drahtzieher es verwendeten, um Krebs Blog anzugreifen. Einen Monat später sorgte ein Mirai-Angriff auf den Provider Dyn dafür, dass für einige Stunden mehrere große Internetdienste wie Twitter, Netflix und Spotify lahmgelegt wurden – der erste in einer Reihe an rekordverdächtigen DDoS-Angriffen. Laut den Recherchen von Brian Krebs existiert Mirai allerdings schon viel länger. Vorgänger des IoT-Botnetzes mit Namen wie Bashlite, Gafgytm, Qbot, Remaiten und Torlus existieren demnach seit mindestens 2014.
Der Botcode scheint demnach eine Gemeinschaftsarbeit von mehreren Entwicklern zu sein. Teile des Codes wurden in Untergrundforen weiterverkauft, zum Teil kostenlos verteilt und von neuen Entwicklern aufgegriffen. Was Krebs nun aus Chatlogs und mit Hilfe von Informanten und Quellen in der Anti-DDoS-Szene zusammengetragen hat, deutet darauf hin, dass Mirai und sein unmittelbarer Vorgänger Qbot von Mitarbeitern und Freunden einer kleinen Anti-DDoS-Firma geschrieben wurde, die darauf spezialisiert ist, Minecraft-Server gegen Angriffe abzusichern. Das Botnetz wurde demnach verwendet, um Konkurrenzfirmen und die von ihnen geschützten Server anzugreifen – mit dem Ziel, ihnen die Kunden abzujagen.
Schmutzige Anti-DDoS-Geschäfte
Krebs stützt seine Vermutungen vor allem auf Aussagen von Konkurrenzfirmen, die angegriffen wurden und auf Online-Kontakte, die mit den Autoren der Schadsoftware befreundet gewesen sein wollen. Außerdem hat er die Kombination aus Programmiersprachen, die Anna-senpai beherrscht und in denen die Mirai-Komponenten geschrieben wurden mit einem LinkedIn-Profil des Gründers der verdächtigen Anti-DDoS-Firma korreliert. Ein Informant bringt diese Person mit dem obskuren Registrar der Domain auf welcher der Mirai-Quellcode online gestellt wurde in Verbindung.
Krebs Recherchen beweisen diese Zusammenhänge nicht, die Verbindung zum beschriebenen Anti-DDoS-Dienstleister aus New Jersey scheint aber plausibel. Sollten die Recherchen des unabhängigen Journalisten stimmen, stammt das Rekord-IoT-Botnetz Mirai also aus dem DDoS-Krieg, der um die Provider lukrativer Minecraft-Server tobt. (fab)
