​

Was haben Minecraft, ein DDoS-Protection-Service, ein Journalist und 600.000 infizierte Geräte gemeinsam? Die größten DDoS-Attacken in der Geschichte des Internets und die Verhaftung der drei minderjährigen Drahtzieher.

Nach der Geschichte von Duqu 2.0, erzähle ich heute eine weitere packende Hacking-Story rund um die Mirai IoT-Malware, die sich 2016 abgespielt hat. Ich fange mal mit ein paar technischen Hintergründen an.

Wie funktionierte das Mirai-Botnet?

Wie im letzten Artikel über DDoS schon angeschnitten, besteht ein Botnet aus gehackten Clients, Servern und IoT-Geräten. Bei Mirai waren es nur Security-Cams (🤣) und Router, die auf Linux basierten. Mirai hatte einen entscheidenden Vorteil: Es war ein Wurm – eine Malware, die sich selbstständig weiterverbreitet hat.

Jedes infizierte Gerät (Bot) hat dann auch als Scanner das Internet nach weiteren Geräten mit Schwachstellen abgesucht. Die Geräte wurden über das uralte Protokoll Telnet infiziert. Das gibt's seit 1969. Es ist ein unverschlüsseltes Remote-Management-Protokoll und der Vorgänger von SSH. Die Scanner haben nach den offenen Ports 23 und 2323 Ausschau gehalten und eine Kombination aus 60 Standard-Logins probiert.

Wenn der Login geklappt hat, wurde die IP-Adresse an den "Command & Control Server" weitergeleitet. Der hat dann den "Loader" aktiviert, der die Malware auf das Gerät geladen und es infiziert hat. Es wurde immer die passende Malware verwendet, die für die Prozessor-Architektur des Zielgeräts geeignet war, wie zum Beispiel ARM, MIPS, x86, oder PowerPC.

Die meisten IoT-Geräte haben nur Flash-Speicher mit Lesezugriff. Deshalb wurde die Malware nicht persistent auf den Geräten gespeichert, sondern nur im Arbeitsspeicher ausgeführt. Die Firmware wurde also nicht verändert. Der Nachteil war, dass das Gerät nach einem Neustart nicht mehr infiziert war. Das hat die Arbeit der Forensik der Behörden erschwert. Die IoT-Geräte wurden aber teilweise monatelang nicht neu gestartet. Falls doch, wurden sie halt erneut infiziert. 🤷‍♂️

Mirai war damals nicht das einzige Botnet und es gab einen Krieg um die Bots. Die Betreiber haben sich ein paar Mechanismen zur Selbstverteidigung ausgedacht. Wenn sie eine konkurrierende Malware entdeckt haben, haben sie einfach deren Prozesse gekillt. Danach wurden eingehende Telnet-Verbindungen blockiert und nur vom eigenen "Command & Control Server" zugelassen. Außerdem haben sie auch die anderen Ports und Prozesse zur Geräte-Administration geschlossen. Das Ziel war, die exklusive Kontrolle zu behalten.

Die Beweggründe der Betreiber

Paras Jha war damals noch minderjährig und Student an der Rutgers University in New Jersey. Er war ein großer Fan von dem Online-Spiel Minecraft. Es ist bei jüngeren Leuten sehr beliebt. Man kann Welten bauen, gemeinsam mit Freunden spielen, gegeneinander kämpfen und vieles mehr. Seit 2014 gehört es Microsoft und es wurden bis jetzt über 300 Millionen Kopien davon verkauft.

Offizielle Minecraft Server, auf denen man spielen kann, gibt es nicht. Stattdessen werden die Spiele von verschiedenen Server-Betreibern gehostet, auf denen jeden Tag zigtausende Spieler online sind. Die Betreiber verdienen pro Server jeden Monat bis zu sechsstellige Beträge. Es ist also ein sehr lukratives Geschäft, aber es braucht auch hoch performante Server und Internet-Leitungen.

Zwischen den Betreibern gab es damals große Machtkämpfe und man hat versucht, sich gegenseitig mit DDoS-Attacken vom Markt zu drängen. Denn eines ist klar: Kein Spieler bezahlt Geld für Server, die ständig Ausfälle oder Aussetzer haben (Lag).

Paras und sein Hacking-Buddy Josiah White haben 2014 die Firma "Protraf Solutions" gegründet, um Minecraft-Server-Betreiber vor DDoS-Angriffen zu schützen. Das Geschäftsmodell dafür haben sie sich aber von der Mafia abgeschaut. Sie haben ihre Ziele mit DDoS-Angriffen attackiert, um Schutzgeld für ihre eigene DDoS-Protection zu erpressen. Sogar die Rutgers Universität haben sie 2014 und 2015 mit QBot angegriffen, dem Vorläufer von Mirai.

Die beiden hatten damals bei dem größten Minecraft-Server-Betreiber "ProxyPipe" Schäden in Höhe von 500.000 $ verursacht. Die DDoS-Attacken kamen alle 20 Minuten. In der Zeit konnten sich die Spieler erneut verbinden und wurden kurze Zeit später wieder getrennt. Die Spieler, die dafür bezahlt haben, waren ziemlich frustriert.

Das Geschäftsmodell hat aber trotzdem nicht funktioniert und sie hatten bald kein Geld mehr. Deshalb haben sie sich 2015 mit Dalton Norman zusammengetan. Das Trio hat sich zu einem eingespielten Team entwickelt und jeder hatte sein Spezialgebiet:

• Dalton hat die Schwachstellen gefunden
• Josiah hat die Malware entwickelt, um die Schwachstellen auszunutzen
• Paras hat die Server-Infrastruktur entwickelt und das Botnet betrieben

Der Kampf um die Bots

Das große Problem war: Sie hatten riesengroße Konkurrenz von zwei anderen DDoS-Gangs – "Lizard Squad" und "VDoS". Die beiden haben sich sogar vereint und ihre Botnets unter dem Namen "PoodleCorp" zusammengeführt. Damit hatten sie eine Bandbreite von insgesamt 400 GBit/s. Das war zu dem Zeitpunkt mehr als das Vierfache als die gesamte Konkurrenz bisher. Die Botnets konnte man sich für wenig Geld pro Minute mieten und so ganz einfach seine Konkurrenten lahmlegen.

Während PoodleCorp boomte, arbeitete das Trio eifrig an Mirai. Paras Jah war ein großer Anime-Fan und hat die Malware nach seiner Lieblings-Anime-Serie "Mirai Nikki" benannt. Als sie Mirai von der Leine ließen, hat sich die Malware im Internet wie ein Lauffeuer verbreitet. In den ersten 20 Stunden hatten sie schon 65.000 Geräte infiziert. Das Botnet hat sich in der Anfangsphase alle 76 Minuten verdoppelt. 🤯

Die größte Hilfe hat Mirai allerdings vom FBI bekommen. Gemeinsam mit der israelischen Polizei hat das FBI die Mitglieder von PoodleCorp festgenommen und deren Botnet abgeschaltet. Das Trio hat ein paar Tage gewartet und konnten es kaum glauben. Sie waren das einzige Botnet im Internet. Sie hätten den Kampf zwar trotzdem gewonnen, dank ihrer Selbstverteidigungsmechanismen, aber so war es viel leichter. 😬

Weil sie auch die Geräte der Konkurrenz infiziert haben, kannten sie auch die IP-Adressen der anderen "Command & Control Server". Paras hat einfach "Abuse-Reports" über die offiziellen Kanäle der Hosting-Provider verschickt und darum gebeten, die Accounts wegen krimineller Aktivitäten zu deaktivieren. Wenn die Hosting-Provider nicht folgeleisteten, dann spürten sie den "Zorn von Mirai" und mussten gegen das mächtigste Botnet der Welt antreten. Damals hatte dagegen niemand eine Chance und mussten sich beugen.

Explosion der IoT-Kriminalität

Mirai hat alle bisherigen Rekorde an aggregierter DDoS-Bandbreite gebrochen. Der französische Web-Hosting-Riese OVH wurde mit 1 TBit/s attackiert und der Blog des investigativen Journalisten Brian Krebs mit 620 GBit/s.

But wait … there's more! 😂

Der Angriff hat den Journalisten Brian Krebs noch neugieriger gemacht, als er es sowieso schon war. Er hat ja schon vorher über Mirai berichtet und ein paar Leute befragt, zum Beispiel den Minecraft-Server-Betreiber "ProxyPipe". Der Eigentümer hat sich damals sogar über Skype mit Paras Jha unter dem Synonym "Anna-Senpai" unterhalten. Das FBI war auch schon hinter den Drahtziehern von Mirai her.

Dass das Trio nicht entdeckt wird, liegt nicht nur daran, dass Josiah damals ein VPN verwendet hat. Nein, er hat sich zusätzlich in den Computer eines Jugendlichen in Frankreich gehackt, um die Spuren zu verwischen. Der arme Kerl war auch großer Anime-Fan, was genau ins Profil der Hackers passte. Für das Trio wurde es aber trotzdem immer enger.

Am 30.09.2016 hat Paras Jha, auch bekannt als "Anna-Senpai", den Source Code von Mirai auf "HackForums" veröffentlicht. Das ist das Hacking-Forum, in dem sich das Trio damals kennengelernt hat. Er hat seinen vermeintlichen Rückzug aus dem DDoS-Geschäft erklärt. Das war eine Verwirrungs-Taktik, um Chaos zu stiften und die Suche der Behörden zu erschweren.

Es dauerte nur wenige Tage, bis unzählige neue Mirai-Varianten und neue Botnetze auftauchten. Jedes Script-Kiddie konnte ohne viel Know-how sein eigenes Botnet aufziehen und auch gleich verwenden.

Die Angriffe wurden VIEL HÄRTER und es gab kein Halten mehr. Politisch motivierte Angriffe, Erpressungen, Ablenkungsmanöver bei Betrugskampagnen und vieles mehr:

• 21.10.2016: Der Angriff auf einen der größten DNS-Provider weltweit, "DynDNS", mit 1,2 Tbit/s war der Höhepunkt.
• 31.10.2016: Auch der liberianische Telekom-Provider "Lonestar Cell" wurde mit 600 GBit/s lahmgelegt.
• 26.11.2016: Plötzlich waren 900.000 Router der "Deutschen Telekom" offline. Sie wurden zwar nicht über Mirai infiziert, sondern über einen Exploit in deren Management-Protokoll CWPM. Die Telekom hatte Glück im Unglück, denn die Malware hatte einen Bug im Code. Die Router wurden nicht infiziert, sondern sind abgestürzt und waren deshalb nur offline. 🍀

Das Ende der Geschichte

Es kam, wie es kommen musste. Das FBI und Brian Krebs haben echt ganze Arbeit geleistet. Nach monatelanger Arbeit und unzähligen Quellen haben sie die Drahtzieher identifiziert. Am 18.01.2017 hat Brian Krebs, mit dem OK von FBI Special Agent Elliott Peterson, den Namen und die persönlichen Daten von Paras Jha auf seinem Blog veröffentlicht. Das war damals ein echter Kracher!

Das Trio hat sich zwar aus dem DDoS-Geschäft zurückgezogen, aber Paras und Dalton waren weiterhin als Cyberkriminelle aktiv. Sie haben sich auf "Click Fraud" spezialisiert. Sie nutzten die Bots weiterhin, um künstliche Klicks auf Werbeanzeigen zu erzeugen. Damit konnten sie sich Einnahmen erschleichen oder das Werbebudget von Konkurrenten verbrennen. Damit haben sie über 180.000 $ verdient, deutlich mehr als beim DDoS-Geschäft – da waren es nur 14.000 $.

Hätten die drei einfach deren Dienst abgeschaltet und den Source-Code für sich behalten, hätte man sie vermutlich niemals geschnappt. Weil die IoT-Kriminalität durch die Decke ging, standen die Behörden unter riesengroßem Druck, die Drahtzieher zu schnappen.

Im Dezember 2017 hatte das FBI mehr als genug Beweise gesammelt, um die drei Verdächtigen zu verhaften. Angesichts der eindeutigen Beweise bekannten sie sich sofort schuldig. Das Justizministerium hat alle bei der Verurteilung mit einer ungewöhnlichen Aktion überrascht. Statt sie ins Gefängnis zu stecken, stellten sie fest, dass es eine große Diskrepanz zwischen deren Online-Persönlichkeiten und ihrem echten Leben gab. Im Internet waren sie als skrupellose und böswillige Akteure bekannt, aber im wirklichen Leben waren sie sozial unreife junge Männer, die noch bei ihren Eltern lebten.

Es wurden fünf Jahre Bewährung angesetzt und 2.500 Stunden gemeinnützige Arbeit. Dafür haben sie mit dem FBI für Cybercrime und Cybersecurity kooperiert. Bis zum Urteil am 18.09.2018 hatten die drei schon über 1.000 Stunden mit dem FBI gearbeitet, um die anderen Mirai-Botnets erfolgreich zu bekämpfen. Sie haben sogar eine DDoS-Attacke von einem fremden Geheimdienst abgewehrt.

Der ergreifendste Moment der Verurteilung war, als Paras den Special Agent Elliott Peterson lobte, der Mann, der ihn schnappte.

Neben dem Trio wurde auch Daniel Kaye festgenommen. Er hatte nichts mit denen zu tun aber "Cellcom Liberia" hat ihn beauftragt, den DDoS-Angriff auf deren Konkurrenten "Lonestar Cell" durchzuführen. Außerdem ist er der Autor, der den Router-Ausfall der Deutschen Telekom zu verantworten hatte. Er wurde zu vier Jahren Gefängnis verurteilt.

Fazit

Geile Story! Es war ECHT VIEL Arbeit, die Infos aus den unzähligen Quellen zusammenzutragen und zu konsolidieren, die Fakten zu prüfen, die Zeitleiste zu rekonstruieren und alles in eine relativ kurze und packende Story zu fassen.

Mein persönliches Fazit: Eine einzige Security-Cam richtet vielleicht nicht viel Schaden an. Wenn man sie aber zu einer großen Masse zusammenfügt, dann kann man damit ganze Staaten, kritische Infrastrukturen und sogar ein paar Kids bei Minecraft ärgern. 😁

Quellen

• ​https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/​
• ​https://spectrum.ieee.org/mirai-botnet​
• ​https://en.wikipedia.org/wiki/Mirai_(malware)​
• ​https://www.theguardian.com/technology/2017/dec/13/mirai-botnet-cyber-attack-2016-men-plead-guilty​
• ​https://blog.cloudflare.com/inside-mirai-the-infamous-iot-botnet-a-retrospective-analysis/​
• ​https://krebsonsecurity.com/who-is-anna-senpai-mirai-story-glossary/​
• ​https://github.com/jgamblin/Mirai-Source-Code​
• ​https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/​
• ​https://www.f5.com/labs/articles/threat-intelligence/mirai-the-iot-bot-that-took-down-krebs-and-launched-a-tbps-attack-on-ovh-22422​
• ​https://krebsonsecurity.com/2018/10/mirai-co-author-gets-6-months-confinement-8-6m-in-fines-for-rutgers-attacks/​
• ​https://krebsonsecurity.com/2016/11/new-mirai-worm-knocks-900k-germans-offline/​