IoT-Bot-Netz: Drahtzieher hinter Mirai bekennen sich schuldig

Vor einem US-Bezirksgericht in Alaska haben drei Männer gestanden, im September 2016 gemeinsam das Internet-of-Things-Bot-Netz Mirai erschaffen und es anschließend für verschiedene kriminelle Aktivitäten genutzt zu haben.

Laut Gerichtsdokumenten nutzten sie das aus über 300.000 gekaperten Geräten bestehende Bot-Netz zwischen Juli und September 2016 für Distributed-Denial-of-Service-(DDoS)-Attacken gegen konkurrierende Bot-Netz-Betreiber und vermieteten es überdies auch an andere Kriminelle. Des Weiteren sollen sie unter Androhung von DDoS-Angriffen Schutzgeld von namentlich nicht genannten Hostern und weiteren Firmen erpresst haben.

Brian Krebs forschte nach den Tätern

Einer der Angeklagten, der in Hackerforen unter anderem die Nicknamen Anna-senpai und ogmemes verwendete, hatte den Mirai-Code Ende September 2016 in einem Hackerforum veröffentlicht. Der in den Programmiersprachen C und Go geschriebene Schädling scannt sicherheitsanfällige IoT-Geräte wie Router, Kameras, Drucker, Smart-TVs und Videorekorder nach Schwachstellen wie Standardpasswörtern. Diese nutzt er dann zum Einschleusen von Schadcode zur Fernsteuerung.

Anna-senpais Gründe für die Code-Veröffentlichung waren Gegenstand vieler Spekulationen. Sicherheitsforscher Brian Krebs, dessen Webseite kurz zuvor zum Angriffsziel einer massiven DDoS-Attacke durch Mirai geworden war, vermutete, dass es sich um eine Zerstreuungstaktik zur Ablenkung der Strafverfolgungsbehörden handeln könnte. Anna-senpais Strategie ging allerdings nicht auf – denn auch die Veröffentlichung und das "Bewerben" des Mirai-Codes sowie seine Rolle als Ansprechpartner für Interessenten in Hackerforen finden sich als Vorwurf in der Anklageschrift wieder.

Anna-senpais Codeveröffentlichung diente Brian Krebs als Ausgangspunkt für umfassende Nachforschungen nach dessen Identität. Im Januar 2017 beschrieb er die Ergebnisse dieser Untersuchungen in einem detaillierten Blogpost – und nannte in diesem Zusammenhang auch den echten Namen Anna-senpais sowie eines weiteren der jetzt für schuldig befundenen Männer.

Anna-senpai, den Krebs als 20-jährigen Studenten einer Universität in New Jersey enttarnte, wurde in diesem Zeitraum auch vom FBI zu seiner Beteiligung an Mirai befragt. Ob ein direkter Zusammenhang zwischen Krebs' Nachforschungen und diesen Befragungen bestand, geht aus dem Blogpost nicht hervor.

Mirai-Nachkömmlinge weiter auf dem Vormarsch

Seit der Veröffentlichung des Mirai-Codes wurde dieser von zahlreichen Trittbrettfahrern optimiert und weiterverwendet. Bereits im November 2016, also keine zwei Monate nach dem Code-Leak, boten Kriminelle eine neue Mirai-Variante mit 400.000 gekaperten IoT-Geräten zur Miete an. Auch die Angriffe auf das US-Unternehmen Dyn und die Internet-Infrastruktur Liberias gingen auf Mirais Konto.

Die Mirai-Familie wächst auch 2017 beständig weiter: Relativ neue Mitglieder sind das Reaper- und das Satori-Bot-Netz. Zwar stellten Sicherheitsforscher kürzlich eine mögliche Gegenstrategie in Gestalt eines "gutartigen" Mirai-Widersachers namens Nematode vor. Da jedoch auch das Eindringen in Computersysteme zum Schließen von Sicherheitslücken in vielen Ländern strafbar ist, haben sie den zugehörigen Quellcode mittlerweile wieder von GitHub entfernt.

[Update 21.9.18.]: Inhaltliche Korrektur zu Anklage, Geständnissen und (mittlerweile erfolgter) Urteilsverkündung. (ovw)