Eine riesige Botnet-Schlacht bedroht das Internet

Der Angriff begann am 20. September gegen 20 Uhr: Eine Armada gekaperter Computer eröffnete das Feuer auf die Website des Sicherheitsforschers Brian Krebs. Mit einer Schussrate von 320 Gigabit die Sekunde ballerten die Bots auf den Blog und versuchten ihn durch Überbelastung lahmzulegen. Doch Krebs' Ingenieure hielten den Angriffswellen stand. Irgendwann in der Nacht endete die digitale Belagerung. Es war die bis dato größte DDoS-Attacken des Internetzeitalters.

Nun hat der Hacker, der behauptet hinter der Operation zu stehen, den Code in einem szenebekannten Forum veröffentlicht. Weil er die „feuchten Träume" der Community kenne, schreibt der Hacker unter dem Pseudonym Anna-senpai, stelle er hiermit eine „fantastische Publikation" zur freien Verwendung: den Quellcode Mirai, der ihm sein „weltgrößtes Botnetz" erst möglich gemacht habe. Der Beitrag stammt vom 30. September und wurde auf der Plattform Hackforums gepostet.

Dass Anna-senpai eine so mächtige Bot-Armee aufbauen konnte, liegt an der Vorgehensweise von Mirai: Der Code klinkt sich in internetfähige Büro- und Haushaltsgeräte ein, kapert diese und benutzt sie als Werkzeuge, um DDOS-Attacken auszuführen. Dabei macht sich Mirai die Tatsache zunutze, dass WLAN-verbundene Heimgeräte wie Webcams oder „intelligente" Toaster häufig nur mit schwachen Passwörtern geschützt sind. Auf diese Weise konnte Mirai laut Angaben des Hackers bis zu 380.000 Geräte unter seine Kontrolle bringen und eine riesige Bot-Armee aufbauen.

Sicherheitsforscher sind besorgt, dass mit dem Leak des Quellcodes weitere Angriffe durch Nachahmer drohen. Der Angegriffene Brian Krebs befürchtet etwa, dass das Internet „schon bald überflutet sein wird" von Botnetzen, die von „unsicheren Router, Webcams, Digital-Camcordern und anderen leicht zu knackenden Geräten" aus Seiten angreifen oder Schadsoftware verbreiten. Und Dale Drew, Sicherheitschef beim US-Provider Level 3 Communications, äußerte gegenüber dem Tech-Magazin Ars Technica, er rechne mit einer „Vervielfachung von Botnetz-Operatoren", die mithilfe des Codes weitere Heimgeräte infizieren werden.

Laut Drew sei Mirai einer von zwei riesigen Botnetz-Familien, die derzeit um die globale Vorherrschaft auf dem Bot-Markt konkurrieren. Dabei sei Mirai sogar noch der kleinere: Während Mirai circa 233.000 infizierte Geräte sein Eigen zählte, bringe es sein Rivale Bashlight auf fulminante 963.000. Mittlerweile gebe es jedoch Hinweise, dass Mirai Geräte, die von Bashlight kontrolliert werden, durch eine Neuinfektion so manipulieren könne, dass sie nie wieder von Bashlight gekapert werden könnten. Auf diese Weise habe Mirai schon 80.000 Geräte von Bashlight übernommen, sagt Drew.

Dass der Weltkrieg zwischen den Bot-Giganten bereits in vollem Gange ist, scheint auch die Tatsache zu belegen, dass kurze Zeit nach der Rekord-Attacke durch Mirai ein weiterer Angriff in dieser Größenordnung stattfand: Der französische Hoster OVH meldete am 25. September eine DDoS-Attacke, bei der Bots Datenpakete von einem Terrabit pro Sekunde auf die Webseite schleuderten. Mutmaßlicher Befehlshaber der Angriffe: Bashlight.

Ein Hauptgrund der Ausbreitung solcher Botnetze sind Krebs, Drew und anderen Analysten zufolge die laxen Sicherheitsvorkehrungen der Heimgeräte. Nutzer würden sich einfach zu knackende Passwörter ausdenken oder gar die standardmäßig eingestellten benutzen. Damit sind die Geräte leichte Beute für die automatischen Scanner der Bot-Kraken, die das Netz permanent nach Verstärkung für ihre Computerarmee abgrasen.

Tatsächlich könnte die Gefahr, ungewollt Teil eines Botnetzes zu werden, nicht nur durch schwache Passwörter steigen, sondern auch durch die schiere Anzahl scheinbar intelligenter Alltagsgegenstände: Laut der Tech-Firma Gartner Group wird in den nächsten Jahren sich die Verbreitung der netzfähigen Heimgeräte von derzeit 6 Milliarden auf 21 Milliarden steigen.

Höchste Zeit also, dass ihr eure WLAN-Klobürste mit einem bombensicheren Passwort schützt. Nicht auszudenken, was passieren würde, wenn eines Tages fremdgesteuerte Computersöldner dieses wichtige Tool übernehmen und damit kritische Infrastrukturen im Internet—oder im Klo—angreifen würden.