Was ist Mirai?

Mirai ist eine Schadsoftware, die Linux-basierte IoT-Geräte infiziert und zu einem Botnet zusammenschließt. Solche Botnetze nutzen Cyberkriminelle als Angriffswerkzeuge – etwa für DDoS-Attacken, Spam, Phishing oder Klickbetrug.

Beispiel eines Botnets

01

Mirai: eine Definition

Bei Mirai handelt es sich um eine Linux-Malware, die Sicherheitslücken in IoT-Geräten (Internet of Things) wie Routern, IP-Kameras, vernetzten Haushaltsgeräten oder Smart-TVs ausnutzt, um Schadcode aufzuspielen. Ziel des Wurms ist es, anfällige Geräte im Internet zu finden, sie zu kapern und in ein Botnetz einzubinden, das dann aus der Ferne gesteuert werden kann. Angreifer nutzen solche Botnetze für eine Vielzahl krimineller Aktivitäten – von Distributed-Denial-of-Service-Attacken (DDoS) über Spam- und Phishing-Kampagnen bis hin zu Datendiebstahl und Klickbetrug. Der Name der Schadsoftware soll sich übrigens von der japanischen Anime-Serie „Mirai Nikki“ ableiten. Der japanische Begriff „Mirai“ bedeutet „Zukunft“.

02

Wer steckt hinter Mirai?

Geschrieben wurde der Mirai-Wurm ursprünglich von den US-Amerikanern Paras Jha und Josiah White, den Gründern des DDoS-Mitigation-Dienstleisters Protraf Solutions. Ihr Geschäftsmodell bestand darin, Unternehmen mittels DDoS-Attacken, die sie über ihr Botnetz ausführten, direkt zu erpressen oder den von ihnen angegriffenen Firmen passende Abwehrdienste zu verkaufen. Oder bildlich gesprochen: Sie ließen sich dafür bezahlen, die Brände zu löschen, die sie selbst gelegt hatten. Außerdem setzten sie ihr Mirai-Botnetz für Klickbetrug ein und vermieteten es an andere Cyberkriminelle.

All dessen bekannten sich Jha und White zusammen mit einem weiteren Komplizen Ende 2017 schuldig. Knapp ein Jahr später wurden die drei Angeklagten jeweils zu fünf Jahren Bewährungsstrafe, 2.500 Stunden gemeinnütziger Arbeit und Schadenersatzzahlungen verurteilt. Noch bevor sie ins Visier der Strafverfolgungsbehörden geraten waren, hatten die Mirai-Autoren im Herbst 2016 unter dem Pseudonym „Anna-senpai“ den Quellcode ihrer Malware in einem Hackerforum veröffentlicht. Aus diesem Grund ist Mirai auch heute noch sehr aktiv. Basierend auf dem Quellcode entwickeln Malware-Autoren immer wieder neue Varianten oder Derivate der Mirai-Familie mit zusätzlichen Angriffsfunktionen.

03

Wie funktioniert Mirai?

Mirai durchsucht das Internet ständig nach öffentlich erreichbaren IoT-Geräten, die keinen Passwortschutz haben oder ab Werk voreingestellte Standardkombinationen aus Benutzernamen und Kennwort verwenden. Hat die Malware anfällige Geräte identifiziert, probiert sie verschiedene Standardzugangsdaten aus, um auf die Admin-Oberfläche zuzugreifen und die infizierten Geräte an einen „Command & Control“-Server (C&C-Server) zu melden. Die so gemeldeten Systeme werden dann Mitglieder eines Botnetzes (Bots) und können über den C&C-Server ferngesteuert werden, um selbständig diverse Angriffe auszuführen und weitere Geräte zu infizieren. Das Perfide: Mirai-Infektionen können auftreten, ohne dass Anwender:innen die Malware aktiv herunterladen oder ausführen.

04

Was deutet auf eine Infektion mit Mirai hin?

Der Befall mit der Schadsoftware erfolgt meist, ohne dass Nutzerinnen und Nutzer davon etwas mitbekommen. Eine Infektion mit Mirai zu erkennen, ist leider nicht einfach. In manchen Fällen können eine verringerte Geräte-Performance, eine verlangsamte Internetverbindung oder ein erhöhter Datenverbrauch Anzeichen dafür sein, dass ein Gerät als Bot im Hintergrund andere Aktivitäten ausführt. Jedoch muss keines dieser Symptome zwangsläufig auftreten. Daher ist es umso wichtiger, einer Infektion vorzubeugen und sich präventiv vor Angriffen durch Botnetze zu schützen.

05

Welche Gefahren gehen von Botnetzen wie Mirai aus?

Bösartige Akteure setzen Botnetze für viele verschiedene Angriffe ein. Ihre Motivation ist meist finanzieller Natur. Heutzutage lassen sich Botnet-basierte Attacken sogar für kleines Geld als Dienstleistung buchen. Dadurch können auch Kriminelle ohne technisches Know-how das enorme Schadpotenzial von Botnetzen für ihre Zwecke nutzen. Die Bandbreite der kriminellen Aktivitäten umfasst unter anderem:

DDoS-Angriffe

Mit eigenen oder angemieteten Botnetzen führen Cyberkriminelle häufig DDoS-Attacken auf Webseiten, Webapplikationen, APIs oder IT-Infrastrukturen aus, um das anvisierte Ziel mit einer Masse automatisierter Anfragen zu überlasten und dadurch lahmzulegen. Je mehr Bots zusammengeschaltet werden, desto schlagkräftiger fällt die Attacke aus. Oft kombinieren die Angreifer DDoS mit Erpressung: Sie drohen mit weiteren Überlastungsattacken, falls die angegriffenen Unternehmen kein Schutzgeld zahlen. Für diese kriminellen Zwecke setzten auch die ursprünglichen Mirai-Autoren ihr Botnetz ein.

Spam & Phishing

Der massenhafte Versand von Spam- oder Phishing-Mails zählt zu den gängigsten Einsatzzwecken von Botnetzen. Kriminelle versuchen auf diese Weise unter anderem, Schadsoftware zu verbreiten oder unbedarfte Nutzer:innen dazu zu bringen, Zugangsdaten und andere sensible Informationen preiszugeben.

Credential Stuffing

Mithilfe einer Vielzahl von Bots testen Angreifer in kürzester Zeit massenhaft Nutzer/Passwort-Kombinationen durch automatisierte Anfragen an Webshops, Online-Banken oder sogar Firmenkonten. Treffer zu aktiven Accounts verkaufen sie im Nachgang im Darknet oder nutzen die Informationen für weiterführende Attacken.

Proxy

In einem Botnetz eingebundene Geräte lassen sich als Proxys verwenden, um die eigene IP-Adresse zu verbergen und so anonym mit fremden IPs im Internet zu surfen. Dazu wird der Datenverkehr einfach durch das Botnetz geleitet.

Cryptominer

Manche Botnetz-Betreiber missbrauchen die geballte Rechenleistung der von ihnen gekaperten Geräte, um heimlich Kryptowährungen zu schürfen und damit direkte Einnahmen zu generieren.

Klickbetrug

Schon die ursprünglichen Mirai-Autoren verwendeten und vermieteten ihr Botnetz für Klickbetrug. Bei dieser Form des Online-Betrugs werden Bots dazu eingesetzt, bestimmte Anzeigen oder Affiliate-Links auf Webseiten anzuklicken, um die Pay-per-Click-Daten des Werbeabrechnungssystems gezielt zu manipulieren und somit auf Kosten des Werbetreibenden Einnahmen zu generieren.

06

Bekannte Angriffe mit Mirai

2016 umfasste das ursprüngliche Mirai-Botnet etwa 500.000 kompromittierte IoT-Geräte rund um den Globus. Später bestand das Botnetz sogar aus mehreren Millionen Geräten. Mit dieser Masse an Bots führten Cyberkriminelle gerade in der Anfangszeit von Mirai zahlreiche Angriffe durch:

Minecraft-Server/OVH

Die ersten bekannten Angriffe mittels Mirai zielten auf Server des beliebten Online-Spiels Minecraft. Leidtragender war unter anderem der französische Hosting Provider OVH, der im September 2016 zum Ziel einer der bis dahin größten DDoS-Attacken wurde. 2017 und 2018 folgten mit Hilfe von Mirai weitere Angriffe auf Minecraft-Server, etwa auf das Minecraft-Netzwerk Hypixel.

KrebsOnSecurity

Ebenfalls im September 2016 sorgte ein mit Mirai durchgeführter DDoS-Angriff dafür, dass der Blog des Investigativjournalisten und IT-Security-Experten Brian Krebs mehrere Tage nicht mehr erreichbar war. Davon motiviert machte sich Krebs daran, die Identität der Mirai-Autoren offenzulegen, was ihm nach monatelangen Recherchen auch gelang.

Dyn

Im Oktober 2016 traf ein massiver DDoS-Angriff den DNS-Serviceanbieter Dyn und zwang dessen Server in die Knie. In der Folge waren Kunden des US-Dienstleisters über Stunden hinweg nicht oder nur eingeschränkt erreichbar, darunter auch große Namen wie Twitter, Reddit, GitHub, CNN, The Guardian, Amazon, Netflix und Spotify. Der Angriff wurde unter anderem über das Mirai-Botnetz durchgeführt. Die Hackerkollektive SpainSquad, Anonymous sowie New World Hackers bekannten sich im Nachgang öffentlich dazu, verantwortlich gewesen zu sein.

Router/Deutsche Telekom

Ein weltweiter Angriff des Mirai-Botnetzes auf ausgewählte Fernwartungsschnittstellen von DSL-Routern legte im November 2016 mehr als 900.000 Speedport-Router der Deutschen Telekom lahm. Zwar wurden die Geräte nicht kompromittiert, fielen durch einen internen Fehler aber dennoch aus. In der Folge konnten betroffene Telekom-Kunden weder telefonieren noch online gehen.

07

Was bietet Schutz vor Mirai?

Mirai existiert vollständig im flüchtigen Speicher der infizierten Systeme. Daher reicht ein Neustart des betroffenen Geräts aus, um die Malware zu entfernen. Allerdings besteht die Gefahr, dass das System immer wieder infiziert wird, solange es mit dem Internet verbunden und nur durch ein Standardpasswort geschützt ist. Deshalb sollten mit dem Internet verbundene Geräte immer mit einem individuellen starken Kennwort abgesichert sein.

Darüber hinaus empfiehlt es sich generell, Firmware- und Sicherheitsupdates für Systeme und Geräte zeitnah einzuspielen. Sind keine entsprechenden Updates (mehr) verfügbar, sollte man außerdem prüfen, ob sich IoT-Geräte wie IP-Kameras oder Smart-TVs nicht auch ohne Internetanbindung im lokalen Netzwerk betreiben lassen.

Für Unternehmen stellen insbesondere mittels Botnet durchgeführte DDoS-Angriffe eine Bedrohung dar. Um finanzielle und Reputationsschäden durch Störungen oder Ausfälle zu vermeiden, sollten Firmen ihre Webressourcen und IT-Infrastruktur präventiv mit einem dedizierten DDoS-Schutz absichern, der sich als Managed Service beziehen lässt. Schutz vor anderen typischen Botnetz-Angriffen bietet eine Kombination aus Web Application Firewall (WAF) und Bot Management.

08

Mirai: Das müssen Sie wissen

Mirai gilt seit 2016 als eines der aktivsten Botnetze. Der gleichnamige Computerwurm zielt auf eine breite Palette öffentlich zugänglicher IoT-Geräte ab, um sie als ferngesteuerte Bots für illegale Aktivitäten zu nutzen – von Spam und Phishing über Credential Stuffing bis hin zu DDoS-Angriffen. Unsichere Konfigurationen und Standardpasswörter machen es Kriminellen häufig leicht, IoT-Geräte zu übernehmen und in Botnetze einzubinden. Anfang 2022 nutzten neue Mirai-Derivate auch gezielt die Schwachstelle Log4Shell in der Java-Bibliothek Log4J aus, um anfällige IoT-Geräte als DDoS-Angriffswerkzeuge oder Cryptominer zu missbrauchen. Botnetz-basierte Attacken haben ein enormes Schadpotenzial. Daher sollten sich Unternehmen präventiv dagegen absichern, etwa mit einem dedizierten DDoS-Schutz.