Aus dem Internet der Dinge wird eine Armee der Dinge

Alle von MalwareTech erfassten Mirai-Infektionen. Bild: MalwareTech

Die Verantwortlichen für den massiven DDoS-Angriff auf DNS-Server am Wochenende sind noch nicht bekannt, neben Scriptkiddies, Kriminellen oder Hackergruppen werden auch die üblichen Verdächtigen Russland oder China genannt

Schon länger wurde vor den Risiken des Internet of Things (IoT) gewarnt. Wenn Milliarden von Dingen, Maschinen, Geräten etc. mit dem Internet und oft nicht gut gesichert verbunden werden, steigt das Risiko entsprechend an, dass sie gehackt, manipuliert oder lahmgelegt werden können. Dass es dabei keineswegs nur um die Risikoanfälligkeit einzelner Dinge geht, demonstrierte der DDoS-Angriff am Freitag und Samstag, der Websites von amerikanischen Unternehmen wie Twitter, Netflix, Paypal, Shopify, Github, Airbnb, Reddit oder Spotify an der Ost- und Westküste, aber auch in Teilen Europas zeitweise unerreichbar machte. Betroffen sollen auch die Netzwerke von PlayStation und Xbox Live gewesen sein.

Anzeige

Vermutlich hat der Angreifer oder haben die Angreifer keine übernommenen Computer wie üblich zu einem Botnetz verbunden, sondern Millionen von Geräten und damit eine Angriffskapazität von mehr als einem Terabyte pro Sekunde erreicht. Solche Angriffe gab es in diesem Jahr bereits mehrere Male. So wurde auf die Website des Security-Bloggers Brian Krebs im September ein DDoS-Angriff mit einem IoT-Botnetz mit Spitzen von 620 Gigabit pro Sekunde ausgeführt. Die Website wurde dadurch lahmgelegt, obgleich sie von Akamei vor solchen Angriffen geschützt werden sollte. Aber der Angriff war zu massiv und der bis dahin stärkste.

Er wurde allerdings übertrumpft von einem Angriff auf die Server des französischen Hosters OVH, der mit Spitzen von über 1,1 Terabit die Sekunde geführt wurde. Vermutet wurde bereits, dass hier Tausende von Überwachungskameras in Privatwohnungen oder von Firmen und Festplatten-Receiver zum Einsatz kamen. Alle oder fast alle scheinen von einem chinesischen Hersteller zu kommen, die nach Allison Nixon von der Sicherheitsfirma Flashpoint nicht gesichert werden können, wenn sie nicht vom Internet getrennt werden.

Vermutlich waren es dieselben Personen, die nun einen weiteren großen Angriff mit der IoT-Methode ausgeführt haben. Gut möglich, dass die Absicht besteht, mit der Demonstration Unternehmen erpressen zu können. Womöglich war es auch schon ein erster Akt, um die notwendige Aufmerksamkeit auf drohende Folgen zu schaffen, da der Angriff angekündigt gewesen zu sein scheint. Brian Krebs verweist auf eine Nachricht, die vielen Unternehmen am Montag vor der Attacke zugegangen sein soll:

Your network will be DDoS-ed in 96 hours if you will not pay 2 Bitcoins at [XXX] address. If you will not pay in time, DDoS attack will start, your web-services will go down permanently. After that, price to stop will be increased to 5 BTC with further increment of 5 BTC for every day of attack. NOTE, i'm not joking. My attack are extremely powerful now - now average 700-800Gbps, sometimes over 1 Tbps per second. It will pass any remote protections, no current protection systems can help.

Angriffswarnung

Im September war der Quellcode für ein neues IoT-Botnet-Programm mit dem Namen Mirai in einem Hackerforum von Anna_Senpai veröffentlicht worden (Mirai Attacks). Die Angriffe auf Krebs und die neuen Angriffe scheinen zumindest teilweise mit diesem Programm durchgeführt worden zu sein. Der neue Angriff richtete sich primär gegen den DNS-Provider Dyn, wobei die Internetnutzer aus Teilen der USA größere Probleme mit der zeitweisen Erreichbarkeit der Websites hatten als solche aus Europa oder Asien. Dyn wirbt damit, Websites vor DDoS-Angriffen schützen zu können. Die Firma sagt, dass ihre Server über das Mirai-Botnet von 10 Millionen Geräten bzw. IP-Adressen angegriffen worden seien.

Anzeige