Mirai
Wie Kameras und Router mit Standard-Passwort 2016 zur Waffe wurden und grosse Teile des Internets lahmlegten.
Ein Angreifer, viele schlecht gesicherte IoT-Geräte im Internet und ein Ziel-Server, den er treffen will.
In 30 Sekunden
Mirai war 2016 eine Schadsoftware, die das Internet automatisch nach schlecht gesicherten IoT-Geräten (Internet of Things, also vernetzte Alltagsgeräte wie Kameras, Router und Videorekorder) absuchte. Sie meldete sich mit einer kurzen Liste bekannter Standard-Passwörter wie admin/admin an und übernahm so schätzungsweise hunderttausende Geräte. Aus diesen wurde ein Botnetz, also eine ferngesteürte Geräte-Armee. Auf Kommando überflutete diese Armee ausgewählte Ziele mit einer Flut sinnloser Anfragen, bis diese zusammenbrachen. Der bekannteste Fall war der Angriff auf Dyn, einen Anbieter für DNS (das Adressverzeichnis des Internets, das Namen wie netflix.com in die technische Adresse übersetzt), im Oktober 2016, der grosse Webseiten wie Twitter, Netflix und Reddit zeitweise unerreichbar machte. Weil der Quellcode kurz zuvor veröffentlicht wurde, entstanden viele Nachahmer, die bis heute Nachfahren von Mirai betreiben.
Was geschah
2016
Vernetzte Alltagsgeräte weltweit (vor allem IP-Kameras, Heimrouter und Videorekorder), deren Internetanbindung und schiere Masse für Überlastungsangriffe gegen grosse Internet-Dienste missbraucht wurde.
Der Angriffsweg
- Die Schadsoftware durchsuchte automatisch grosse Teile des Internets nach IoT-Geräten, die von aussen erreichbar waren.
- Bei jedem gefundenen Gerät probierte sie eine kurze Liste bekannter Standard-Passwörter (z.B. admin/admin) durch.
- Klappte die Anmeldung, wurde das Gerät infiziert und zu einem ferngesteürten Bot, ohne dass der Besitzer etwas bemerkte.
- Die vielen Bots bildeten zusammen ein Botnetz, eine Armee aus hunderttausenden Geräten, die auf einen zentralen Befehl warteten.
- Auf Kommando überfluteten alle Bots gleichzeitig ein Ziel mit Anfragen (DDoS, Distributed Denial of Service, also verteilter Überlastungsangriff).
- Das Ziel brach unter der Last zusammen und war für normale Nutzer nicht mehr erreichbar.
Auswirkung
Beim Angriff auf den DNS-Dienstleister Dyn am 21. Oktober 2016 waren viele grosse Webseiten wie Twitter, Netflix, Reddit und Spotify für Nutzer zeitweise nicht erreichbar, weil deren Adressauflösung gestört war. Da DNS (Domain Name System, das "Telefonbuch des Internets") ein zentraler Dienst ist, wirkte ein einziges Ziel auf sehr viele Angebote gleichzeitig. Der Vorfall machte weltweit sichtbar, dass unsichere Alltagsgeräte zu einer Gefahr für die gesamte Internet-Infrastruktur werden können. Weil der Quellcode kurz zuvor veröffentlicht wurde, folgten zahlreiche Nachahmer-Botnetze, die das Grundprinzip bis heute weiterverwenden.
So schützt du dich
Fakten
- 2016 (Quellcode Ende September, Dyn-Angriff 21. Oktober)
- Internet-Infrastruktur und grosse Online-Dienste weltweit
- DDoS (verteilter Überlastungsangriff) durch ein IoT-Botnetz
- Quellcode von einem Nutzer unter dem Pseudonym Anna-senpai veröffentlicht; drei Personen bekannten sich später vor US-Gerichten schuldig
- IP-Kameras, Heimrouter, Videorekorder; ausgenutzt wurden Standard-Passwörter, oft über Telnet (einen älteren, unverschlüsselten Fernzugang)
- Schätzungen von rund 100'000 bis mehreren hunderttausend gekaperten Geräten; Angriffsspitzen laut Berichten im Terabit-Bereich (rund 1,2 Tbit/s), also eine der grössten je gemessenen Datenfluten
- Angriff auf DNS-Anbieter Dyn, dadurch Twitter, Netflix, Reddit u.a. zeitweise gestört
- Veröffentlichung des Quellcodes führte zu vielen Nachahmer-Botnetzen, die bis heute aktiv sind
Im Detail
Warum ausgerechnet Alltagsgeräte?
IoT-Geräte wie Überwachungskameras, Router oder Videorekorder sind kleine Computer, die dauerhaft am Netz hängen und rund um die Uhr laufen. Genau das macht sie für Angreifer attraktiv: Sie sind immer erreichbar, werden selten überwacht und fallen kaum auf, wenn sie im Hintergrund fremde Befehle ausführen.
Der entscheidende Schwachpunkt war menschlich und organisatorisch, nicht hochtechnisch. Viele Geräte wurden mit einem vom Hersteller voreingestellten Standard-Passwort ausgeliefert, und dieses wurde nach dem Auspacken nie geändert. Solche Kombinationen wie admin/admin sind öffentlich bekannt und stehen in jedem Handbuch.
Mirai musste also keine ausgeklügelte Sicherheitslücke knacken. Es genügte, geduldig eine kurze Liste bekannter Passwörter durchzuprobieren. Aus Sicht eines Geschäftsführers ist das die wichtigste Lehre: Der teuerste Schaden entstand nicht durch geniale Hacker, sondern durch fehlende Grundhygiene bei ganz gewöhnlichen Geräten.
Vom Einzelgerät zur Armee
Ein einzelnes gekapertes Gerät ist harmlos. Die Gefahr entsteht durch die Masse. Mirai suchte automatisch und ununterbrochen nach weiteren verwundbaren Geräten und wuchs so auf hunderttausende Bots an, die alle zentral steuerbar waren.
Dieses Botnetz funktionierte wie eine schlafende Armee: Jedes Gerät wartete still auf einen Befehl. Kam das Kommando, richteten sich alle Bots gleichzeitig gegen dasselbe Ziel und überfluteten es mit einer Welle von Anfragen. Kein einzelnes Gerät fiel auf, aber die Summe war überwältigend.
Wichtig für das Verständnis: Die Besitzer der Kameras und Router waren nicht das eigentliche Ziel, sondern unfreiwillige Mittäter. Ihre Geräte funktionierten scheinbar normal weiter, während sie im Hintergrund an einem Angriff auf Dritte teilnahmen. Deshalb ist IoT-Sicherheit auch eine Frage der Verantwortung gegenüber anderen, nicht nur dem eigenen Schutz.
Der Dyn-Angriff und die Kettenreaktion
Am 21. Oktober 2016 richtete sich das Botnetz gegen Dyn, einen Dienstleister für DNS (Domain Name System). DNS ist so etwas wie das Telefonbuch des Internets: Es übersetzt Namen wie netflix.com in die technische Adresse, unter der ein Dienst wirklich erreichbar ist. Fällt dieses Telefonbuch aus, findet der Browser den Weg zum Ziel nicht mehr, selbst wenn das Ziel selbst völlig gesund ist.
Genau deshalb war die Wirkung so gross. Statt jede Webseite einzeln anzugreifen, traf Mirai einen zentralen Knotenpunkt, von dem viele Dienste gleichzeitig abhingen. Für viele Nutzer, vor allem in Teilen der USA, waren Twitter, Netflix, Reddit, Spotify und weitere Angebote laut Berichten zeitweise nicht oder nur schwer erreichbar.
Kurz zuvor war der Quellcode von Mirai veröffentlicht worden. Das senkte die Hürde für Nachahmer drastisch, und in der Folge entstanden zahlreiche Varianten. Für Entscheider bedeutet das: Ein einmal veröffentlichtes Angriffswerkzeug verschwindet nicht wieder, sondern wird zum dauerhaften Baukasten. Vorsorge und Redundanz sind daher keine einmalige Aufgabe, sondern Dauerbetrieb.
