Mirai (Computerwurm)

Mirai (japanisch 未来 „Zukunft“) ist eine seit 2016 bekannte Linux-Schadsoftware, mit deren Hilfe Bot-Netze aufgebaut werden können. Damit können beispielsweise gezielte Attacken durch absichtliche Überlastungen von Netzen durch andere Systeme (Distributed Denial of Service (DDoS)) organisiert werden. Der Name Mirai wurde von der Manga- und Animeserie Mirai Nikki abgeleitet.^[1][2]

Struktur und Wirkung[Bearbeiten | Quelltext bearbeiten]

Mirai nutzt die Tatsache aus, dass immer mehr Alltagsgegenstände wie Router, CCTV-Überwachungssysteme, Digital Video Recorder oder Fernseher mit dem Internet verbunden sind (IdD – Internet der Dinge). Die Software scannt das Netz nach Sicherheitslücken bei solchen Geräten mit werkseitig aufgespielter Betriebssoftware und versucht dann, Schadcode auf diese aufzuspielen.^[3]

Verbreitung[Bearbeiten | Quelltext bearbeiten]

Sicherheitsdienste berichten, dass Mirai-Dienste die Basis der aktuellen „DDoS-for-hire booter / stresser service“ bilden. Mit verhältnismäßig wenig eigener Rechnerleistung werden von Hackern DDoS-Angriffe gegen beliebige Ziele gegen Bezahlung in Bitcoin angeboten.^[4]

Das ursprüngliche Bot-Netz Mirai umfasste 2016 rund 500.000 kompromittierte IoT-Geräte weltweit. Eine besondere Verbreitungsdichte infizierter Geräte weisen die Länder China, Hong Kong, Macau, Vietnam, Taiwan, Südkorea, Thailand, Indonesien, Brasilien und Spanien auf.

Eine permanente Überwachung des Bot-Netzes, die in einer Livemap bereitgestellt wird, zeigt an, dass bereits über drei Millionen Geräte im Bot-Netz gefangen waren. Außerdem wurde bekannt, dass Hacker ein Bot-Netz mit 50.000 infizierten Geräten zur Miete anboten.^[5][6]

Bekannte Anwendungen[Bearbeiten | Quelltext bearbeiten]

Ende September 2016 griffen drei Jugendliche in Alaska mittels Distributed Denial of Service (DDoS) mehrere Webseiten an. Ziel ihres Angriffs waren ursprünglich Minecraft-Server.^[7] 2017 und 2018 folgten weitere Angriffe, darunter auch auf das größte Minecraft-Netzwerk Hypixel.^[8][9]

Betroffen waren allerdings viele weitere Unternehmen, darunter der Telekommunikationsanbieter OVH in Frankreich als auch die Website des IT-Sicherheits-Journalisten Brian Krebs. An dem Angriff waren rund eine Million Anwendungen des Internets der Dinge beteiligt. Auf der Plattform Hackforums verbreitete das Mitglied mit dem Pseudonym Anna-senpai den Link mit dem Quellcode von Mirai.^[10]

Am 21. Oktober 2016 folgten großangelegte DDoS-Angriffe auf die Firma Dyn, bei der viele Webseiten stundenlang nicht erreichbar waren.^[11]

Anfang November 2016 wurde kurz vor der US-Präsidentschaftswahl versucht, mittels Mirai über den Internetdienstleister Dyn hochfrequentierte Webdienste wie Twitter, Spotify und Amazon zum Erliegen zu bringen.^[12][13]

Anfang November 2016 wurde bekannt, dass der Internetzugriff in Liberia zeitweise lahmgelegt wurde, was als Testlauf vermutet wurde.^[14]

Bei der Cyberattacke auf DSL-Router am 27. November 2016 wurde das Bot-Netz nach Erkenntnissen des angegriffenen Unternehmens Telekom Deutschland ebenfalls eingesetzt.^[15][16]

Bekämpfung[Bearbeiten | Quelltext bearbeiten]

Zur Bekämpfung eines Mirai-Botnetzes ließe sich nach Angaben von Forschern ein Nematode genannter Computerwurm einsetzen, der anfällige Geräte aufsucht und deren Standardpasswörter ändert und sie somit vor Mirai schützt. Da es sich dabei aber um ein ebenfalls unerlaubtes Eindringen in Computersysteme handeln würde, wäre diese Bekämpfung in vielen Ländern, wie z. B. auch in Deutschland, sehr wahrscheinlich illegal und könnte den Besitzern der Geräte den Zugriff versperren.^[3][17]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ Bernd Kling: Sicherheitsblogger Brian Krebs auf der Spur des Mirai-Botnet-Entwicklers. ZDnet.de, 20. Januar 2017, abgerufen am 19. Dezember 2018. 
2. ↑ Who is Anna-Senpai, the Mirai Worm Author? Krebs on Security, 18. Januar 2017, abgerufen am 19. Dezember 2018. 
3. ↑ ^{a b} Steve Mansfield-Devine: DDoS goes mainstream: how headline-grabbing attacks could make this threat an organisation's biggest nightmare. In: Network Security. 2016. Jahrgang, Nr. 11, 16. November 2016, S. 7–13, doi:10.1016/S1353-4858(16)30104-0. 
4. ↑ Mirai IoT Botnet Description and DDoS Attack Mitigation. In: Arbor Threat Intelligence. 26. Oktober 2016 (arbornetworks.com [abgerufen am 28. November 2016]). 
5. ↑ Kriminelle bieten Mirai-Botnetz mit 400.000 IoT-Geräten zur Miete an (heise.de vom 25. November 2016, abgerufen am 29. November 2016)
6. ↑ Mirai-Botnet mit über 400.000 IoT-Bots zu vermieten (zdnet.de vom 25. November 2016, abgerufen am 29. November 2016)
7. ↑ How a Dorm Room Minecraft Scam Brought Down the Internet. 13. Dezember 2017 (wired.com [abgerufen am 13. Dezember 2017]). 
8. ↑ Wes Fenlon: Internet security expert links massive botnet DDoS attacks to Minecraft disputes. In: PC Gamer. 18. Januar 2017, abgerufen am 4. Mai 2019 (amerikanisches Englisch). 
9. ↑ Staff Writer: Cloudflare Spectrum – DDoS protection for the rest of the Internet. Abgerufen am 4. Mai 2019 (amerikanisches Englisch). 
10. ↑ The source code of the Mirai IoT botnet leaked online. Do you trust it? In: Security Affairs. 3. Oktober 2016 (securityaffairs.co [abgerufen am 29. November 2016]). 
11. ↑ Nicky Woolf: DDoS attack that disrupted internet was largest of its kind in history, experts say, The Guardian vom 26. Oktober 2016, 21:42 Uhr BST, abgerufen am 29. November 2016
12. ↑ DDoS-Attacke legt Twitter, Netflix, Paypal, Spotify und andere Dienste lahm (heise.de vom 21. Oktober 2016, abgerufen am 29. November 2016)
13. ↑ Was passiert ist, wer dahinter steckt, was Kunden tun können. (tagesspiegel.de [abgerufen am 28. November 2016]). 
14. ↑ Mirai-Botnet: Unbekannte werfen Liberia aus dem Netz (spiegel.de vom 4. November 2016, abgerufen am 29. November 2016)
15. ↑ Sonja Álvarez UND Frank Jansen: Hackerangriff auf die Telekom Was passiert ist, wer dahinter steckt, was Kunden tun können, Tagesspiegel, 28. November 2016, 20:55 Uhr, abgerufen am 29. November 2016
16. ↑ Upgraded Mirai botnet disrupts Deutsche Telekom by infecting routers (pcworld.com vom 28. November 2016, abgerufen am 29. November 2016, englisch)
17. ↑ DDoS-Rekord-Botnetz Mirai ließe sich bekämpfen – allerdings illegal (heise.de vom 2. November 2016, abgerufen am 29. November 2016)