Im Oktober 2016 wurde das Internet für kurze Zeit ein bisschen kleiner. Dienste wie Spotify, Netflix und Twitter waren in mehreren Regionen nicht erreichbar, viele Onlineshops und auch private Websites konnten für etwa zwei Stunden nicht aufgerufen werden. Ein Angriff auf die Server des US-Unternehmens Dyn hatte sie lahmgelegt – es war einer der bis dato größten Angriffe auf die Infrastruktur des Internets.
Die Attacken kamen aus dem Internet der Dinge. Das Mirai getaufte Botnetz hatte die Kontrolle über ungesicherte Sicherheitskameras, Kühlschränke und andere vernetzte Haushaltsgeräte übernommen und diese dazu missbraucht, über sogenannte DDoS-Angriffe (Distributed-Denial-of-Service) so viele gleichzeitige Anfragen auf die Dyn-Server zu schicken, dass diese schlicht überlastet waren.
Doch wer hatte den Code von Mirai geschrieben
und damit zeitweise bis zu 600.000 Geräte gekapert? Staatliche Hacker aus Russland oder Nordkorea, die es vielleicht sogar auf
die US-Wahl abgesehen hatten, wie manche Experten vermuteten? War es ein bis dato unbekanntes Werkzeug der
NSA, das in fremde Hände fiel?
Weder noch. Es waren drei junge Männer, die Geld mit dem Videospiel Minecraft machen wollten und eine – aus Hackersicht – gute Idee hatten. Vergangenen Freitag bekannten sie sich vor einem Gericht in Alaska für schuldig.
Mit Kanonen auf "Minecraft"-Server schießen
Die fast schon irrwitzigen Hintergründe hinter der größten DDoS-Attacke des vergangenen Jahres fasst das US-Magazin Wired ausführlich zusammen. Dem Gerichtsurteil zufolge war der Anlass hinter der Entwicklung von Mirai eine "Waffe zu entwickeln, die mächtige DDoS-Angriffe gegen die Mitbewerber der Angeklagten durchführen konnte". Soll heißen: gegen konkurrierende Minecraft-Server.
Prinzipiell kann jeder einen Server für das Klötzchenspiel anbieten oder mieten. Das Geschäft ist lukrativ angesichts des Erfolgs von Minecraft, das Microsoft vor drei Jahren für 2,5 Milliarden US-Dollar von den schwedischen Entwicklern kaufte. Ein guter, schneller und beliebter Server kann den Betreibern Tausende Euro im Monat einbringen.
Die drei Angeklagten, die aus New
Jersey, Pittsburgh und New Orleans stammen, erkannten das Potenzial und wollten
mitmachen. Sie wussten von illegalen Angeboten im Netz, die mithilfe von
Botnetzen gezielte DDoS-Angriffe gegen einzelne Server fahren und diese somit
lahmlegen. Je länger ein Server nicht erreichbar ist, desto mehr Geld verliert
dessen Betreiber und desto mehr Spieler wechseln auf einen anderen. Die
Angeklagten versuchten, ein eigenes Botnetz aufzubauen, um konkurrierende Minecraft-Server zu verdrängen. Wie das
FBI erst später erkannte, waren von den ersten Mirai-Attacken auffällig viele
Serveranbieter betroffen – es war ein Hinweis, der die Ermittler
schließlich auf die richtige Fährte führte.
Die Idee, ungesicherte Geräte aus dem Internet der Dinge (IoT) zu missbrauchen, war ebenso genial wie verheerend. In den vergangenen Jahren ist die Anzahl der Geräte weltweit stark gestiegen, gleichzeitig ignorierten viele Hersteller deren Sicherheit. Bestanden Botnetze bislang vor allem aus Computern, die mit Trojanern infiziert waren, konnten die Entwickler von Mirai einfach IP-Adressen abfragen und versuchen, sich über Standardpasswörter in Geräte einzuloggen. Anschließend war es leicht, den Schadcode einzuschleusen. Der Ansatz war so effektiv, dass die Entwickler plötzlich auf über 100.000 Geräte zugreifen konnten. "Es wurde dann für sie zur Herausforderung, das Netz so groß wie möglich zu machen", sagte einer der FBI-Ermittler.
Im Oktober 2016 wurde das Internet für kurze Zeit ein bisschen kleiner. Dienste wie Spotify, Netflix und Twitter waren in mehreren Regionen nicht erreichbar, viele Onlineshops und auch private Websites konnten für etwa zwei Stunden nicht aufgerufen werden. Ein Angriff auf die Server des US-Unternehmens Dyn hatte sie lahmgelegt – es war einer der bis dato größten Angriffe auf die Infrastruktur des Internets.
Die Attacken kamen aus dem Internet der Dinge. Das Mirai getaufte Botnetz hatte die Kontrolle über ungesicherte Sicherheitskameras, Kühlschränke und andere vernetzte Haushaltsgeräte übernommen und diese dazu missbraucht, über sogenannte DDoS-Angriffe (Distributed-Denial-of-Service) so viele gleichzeitige Anfragen auf die Dyn-Server zu schicken, dass diese schlicht überlastet waren.