Mirai-Attacke - Was ein Minecraft-Streit mit dem größten DDoS-Kollaps aller Zeiten zu tun hatte

Geld, Mafia-Methoden und Macht: Aus den Hintergründen der massiven DDoS-Attacken durch das berüchtigte Mirai-Botnetz im vergangenen Jahr ließe sich ein spannender Kinofilm machen. Auch Minecraft fände darin Erwähnung.

von Tobias Ritter,
19.01.2017 12:59 Uhr

Das Mirai-Botnetz hat im Oktober 2016 hohe Wellen geschlagen: Zahlreiche wichtige Online-Dienste gingen zwangsweise vom Netz. Hätte es Minecraft nicht gegeben, wäre es dazu vielleicht gar nicht gekommen.Das Mirai-Botnetz hat im Oktober 2016 hohe Wellen geschlagen: Zahlreiche wichtige Online-Dienste gingen zwangsweise vom Netz. Hätte es Minecraft nicht gegeben, wäre es dazu vielleicht gar nicht gekommen.

In den vergangenen Monaten hat die Linux-Schadsoftware Mirai für reichlich Aufregung gesorgt: Mit Hilfe der Malware hatten zunächst Unbekannte ein riesiges weltweites Bot-Netz aufgebaut und unter anderem durch einen Angriff auf den DNS-Dienst Dyn zahlreiche bekannte Webdienste wie Twitter, Spotify und Amazon lahmgelegt.

Auch Online-Spiele wie The Elder Scrolls Online und Eve Online sowie das PlayStation Network waren zeitweise von der großangelegten Attacke betroffen. Mit einer Datenübertragungsrate von 1,2 Terabit in der Sekunde war es laut Experten der bis heute heftigste DDoS-Angriff, der je registriert wurde.

Untersuchung der DDoS-Angriffe

Der Internet-Sicherheitsexperte Brian Krebs, dessen Webseite Krebs on Security im September 2016 ebenfalls Ziel von Mirai-Angriffen war, hat dieses Ereignis zum Anlass genommen, über Monate hinweg den Ursprung von Mirai zu ergründen. Und seinem nun veröffentlichten Bericht zufolge, wurde er tatsächlich fündig.

Mirai ist demnach aus einer ganzen Reihe früherer Botnetze wie Bashlite und Torlus hervorgegangen. Da deren Quellcodes stets in einschlägigen Foren offenlagen, haben einzelne Nutzer immer wieder Verbesserungen vorgenommen und neue Iterationen ins Netz gestellt.

Minecraft-Dispute sorgen für Botnetz-Weiterentwicklung

Einen gewaltigen Schritt vorwärts machte das Botnetz laut Krebs zum Beispiel im Jahr 2014. Und dieser Fortschritt steht offenbar im Zusammenhang mit Minecraft.

Den Anfang nahm demnach alles mit einem Minecraft-Server-Betreiber, der sich in diversen Online-Foren darüber informierte, welche Maßnahmen er gegen die lästigen DDoS-Angriffe auf seine Server ergreifen könne. Schließlich war und ist der Betrieb eines (erfolgreichen) Minecraft-Servers ein lukratives Geschäft: Laut Krebs sind bis zu 50.000 US-Dollar Umsatz im Monat möglich.

Das machte per se alle Server dieser Art zu offensichtlichen Zielen für DDoS-Angriffe und anschließende Schutzgelderpressungen.

Besagter Server-Besitzer hatte jedoch irgendwann die Nase voll von Server-Betrieb und DDoS-Ärger - und in der Zwischenzeit ausreichend Wissen angesammelt, um anderen seine Hilfe anbieten zu können. Er gründete deshalb ein eigenes IT-Sicherheitsunternehmen, das sich auf den Schutz von Servern gegen DDoS-Angriffe spezialisierte.

Mafia-Methoden im Internet

Dabei blieb es allerdings nicht: Um seinem Start-Up ausreichend Kunden zuzuführen, führte der einstige Minecraft-Server-Besitzer gemeinsam mit einigen Mitstreitern alsbald selbst DDoS-Angriffe mit einem deutlich verbesserten Botnetz durch. So wollte er seinem Hauptkonkurrenten ProxyPipe die Kunden abspenstig machen und in Verträge mit seinem eigenen Unternehmen locken.

Und so trieb der Jung-Unternehmer fast ein Jahr lang sein falsches Spiel, entwickelte sein Mirai-Botnetz immer weiter und ließ sich schließlich im September 2016 dafür bezahlen, den französischen Web-Hoster OVH mit DDoS-Angriffen zu überziehen.

Beauftragt wurde er dazu angeblich von den Besitzern eines stark frequentierten Minecraft-Servers, die ebenfalls einen Konkurrenten ausschalten wollten. Ziel war nämlich Hypixel, der momentan größte Minecraft-Server der Welt. Dessen Host: OVH.

Bis zu drei Millionen Geräte im Bot-Netz

Aus den ursprünglich noch rund 500.000 kompromittierte IoT-Devices weltweit sind in der Zwischenzeit übrigens deutlich mehr geworden. Alleine am Angriff auf die Website des Softwareentwicklers Brian Krebs waren rund eine Million Anwendungen des Internets der Dinge beteiligt.

Zwischenzeitlich sollen sogar über drei Millionen Geräte im Mirai-Botnetz gefangen gewesen sein.

Welche Hintergründe die im Oktober 2016 durchgeführten massiven DDoS-Angriffe auf die Firma Dyn hatten, lässt der Bericht von Krebs allerdings offen. Klar ist wohl lediglich, dass das Mirai-Botnetz seine volle Macht erst dadurch entfalten konnte, dass zunächst zwei Minecraft-Sicherheitsdienstleiter und dann zwei Minecraft-Server im Clinch lagen.

Wer sich für die genauen Hintergründe und die Beziehungen aller beteiligten Personen zueinander interessiert, findet die komplette 8.000-Wort-Reportage über das Mirai-Botnetz übrigens auf dem Security-Blog von Krebs.

Nach der Telekom nun weltweite Ausfälle: Mirai legt zahlreiche Router lahm


Kommentare

Nur angemeldete Benutzer können kommentieren und bewerten.

wird geladen ...

ALLE NEWS, VIDEOS UND SPIELE

Zur Themenseite Viel Spaß auf der Gamescom wünschen