Source Code von mächtigem DDoS-Tool Mirai veröffentlicht
In einem Hacker-Forum ist der Code aufgetaucht, mit dem Angreifer ein riesiges IoT-Botnet versklavt haben, um die bisher größte dokumentierte DDoS-Attacke auszuüben.
(Bild: dpa, Oliver Berg/Symbol)
Der Nutzer mit dem Spitznamen Anna-senpai hat in der Hacker-Gemeinschaft Hack Forums Links zum Source Code des mächtigen DDoS-Tools Mirai gepostet. Das berichtet der Security-Blogger Brian Krebs. Seine Webseite war jüngst Opfer einer massiven DDoS-Attacke mit einem Rekord-Volumen von 620 Gigabit pro Sekunde. Kurz darauf berichtete der französische Hoster OVH von einem DDoS-Angriff mit einer Kapazität von 1,1 Terabit pro Sekunde. Sie gehen davon aus, dass die Attacke vom gleichen IoT-Botnetz ausging.
Mit dem veröffentlichten Quell-Code haben unbekannte Angreifer bereits hunderttausende Geräte aus dem Internet der Dinge, wie etwa IP-Kameras, gekapert und zu einem Botnetz versklavt. Von diesem gehen die DDoS-Angriffe aus.
Anna-senpai zufolge wurden in der Hochzeit 380.000 IoT-Geräte für Angriffe missbraucht. Zum Zeitpunkt der Veröffentlichung des Codes seien es noch 300.000 gewesen; die Zahl soll seitdem stetig kleiner werden.
1 Million versklavte IoT-Geräte
Krebs zufolge gibt es neben Mirai derzeit noch ein weiteres DDoS-Tool, das IoT-Geräte versklavt. Bashlight funktioniere ähnlich wie Mirai und setze bei der Übernahme von Geräten auf eine lange Liste mit Standard-Nutzernamen und -Passwörtern. Sicherheitsforschern von Level3 Communications zufolge sollen eine Million IoT-Geräte unter der Fuchtel von Bashlight stehen. Beide Tools sollen miteinander konkurrieren.
Versklavte Geräte könne man mittels Neustart vom Schad-Code säubern und so aus dem Botnetz befreien, erläutert Krebs. Doch offensichtlich scannen die Drahtzieher der DDoS-Attacken aktuell konstant das Internet nach IoT-Geräten, sodass viele nach einer Säuberung gleich wieder versklavt werden. Man sollte demzufolge dringend die Standard-Daten zum Einloggen ändern.
Nutzen und Gefahr
Darüber, warum Anna-senpai den Source Code veröffentlicht hat, kann man nur spekulieren. Krebs geht davon aus, dass Strafverfolgungsbehörden Fortschritte bei den Ermittlungen gemacht haben. In einem derartigen Fall ist es gängig, dass Kriminelle Code von Malware zur Zerstreuung veröffentlichen, sodass sie nicht die einzigen sind, die im Besitz des Codes sind.
Bleibt zu hoffen, dass nicht zu viele Trittbrettfahrer auf den DDoS-Zug aufspringen und die Veröffentlichung auch etwas positives mit sich bringt. Eventuell könnten Sicherheitsforscher aus dem Source Code Erkenntnisse für Abwehrmaßnahmen ziehen.
Aktuell hat der Branchenverband Cloud Security Alliance (CSA) umfassende Richtlinien für die Entwicklung sicherer Geräte für das Internet der Dinge veröffentlicht. (des)
