Wie ein Minecraft-Betrug im Studentenwohnheim das Internet zum Einsturz brachte
Was Anna-senpai nicht wusste, als er den Quellcode veröffentlichte, war, dass das FBI bereits genug digitale Hürden genommen hatte, um Jha als einen wahrscheinlichen Verdächtigen zu identifizieren, und das von einem unwahrscheinlichen Ort aus: Anchorage, Alaska.
Dass eine der großen Internetgeschichten des Jahres 2016 am vergangenen Freitag in einem Gerichtssaal in Anchorage endete – unter der Leitung des stellvertretenden US-Staatsanwalts Adam Alexander, der sich kaum ein Jahr nach der ursprünglichen Straftat schuldig bekannte, was für Cyberkriminalität ein bemerkenswert schnelles Tempo ist -, war ein wichtiger Moment, der eine wichtige Reifung des nationalen Ansatzes des FBI bei der Bekämpfung von Cyberkriminalität markiert.
Bis vor kurzem wurden fast alle wichtigen Fälle von Cyberkriminalität vom FBI nur von einer Handvoll Büros wie Washington, New York, Pittsburgh und Atlanta verfolgt. Jetzt jedoch verfügen immer mehr Büros über die nötige Raffinesse und das Verständnis, um zeitaufwändige und technisch komplexe Internetfälle zu bearbeiten.
Peterson ist ein Veteran des berühmtesten Cyber-Teams des FBI, einer Pioniereinheit in Pittsburgh, die bahnbrechende Fälle wie den gegen fünf chinesische PLA-Hacker bearbeitet hat. In diesem Team leitete Peterson – ein energischer, energiegeladener Student der Computerwissenschaften und Adjutant des Marine Corps, der vor seinem Eintritt in das FBI zweimal im Irak eingesetzt war und jetzt dem FBI-SWAT-Team in Alaska angehört – die Untersuchung des GameOver Zeus-Botnetzes, das auf den russischen Hacker Evgeny Bogachev abzielte, der nach wie vor auf freiem Fuß ist und für dessen Ergreifung eine Belohnung von 3 Millionen Dollar ausgesetzt ist.
Oft werden FBI-Agenten im Laufe ihrer Karriere von ihren eigentlichen Spezialgebieten weggezogen; in den Jahren nach dem 11. September 2001 leitete einer der wenigen arabischsprachigen Agenten des FBI schließlich eine Einheit, die gegen weiße Rassisten ermittelte. Peterson konzentrierte sich jedoch weiterhin auf Cyber-Fälle, selbst als er vor fast zwei Jahren zurück in seinen Heimatstaat Alaska versetzt wurde, wo er der kleinsten Cyber-Einheit des FBI beitrat – nur vier Agenten, die von Walton, einem langjährigen russischen Spionageabwehr-Agenten, geleitet werden und mit Klein, einem ehemaligen UNIX-Systemadministrator, zusammenarbeiten.
Das winzige Team hat jedoch eine überragende Rolle in den Cyber-Sicherheitskämpfen des Landes übernommen und sich auf DDoS-Angriffe und Botnetze spezialisiert. Anfang dieses Jahres war das Team in Anchorage maßgeblich an der Zerschlagung des langjährigen Kelihos-Botnetzes beteiligt, das von Peter Jurjewitsch Lewaschow, auch bekannt als „Peter aus dem Norden“, betrieben wurde, einem im April in Spanien verhafteten Hacker.
Das liegt zum Teil daran, so Marlin Ritzman, der leitende Spezialagent der FBI-Außenstelle in Anchorage, dass Alaskas Geografie Denial-of-Service-Angriffe besonders persönlich macht.
„Alaska ist mit seinen Internetdiensten einzigartig positioniert – viele ländliche Gemeinden sind auf das Internet angewiesen, um die Außenwelt zu erreichen“, sagt Ritzman. „Ein Denial-of-Service-Angriff könnte die Kommunikation ganzer Gemeinden hier oben lahm legen, es geht nicht nur um das eine oder andere Unternehmen. Es ist wichtig für uns, diese Bedrohung zu bekämpfen.“
Die Zusammenstellung des Mirai-Falles war für das vierköpfige Team in Anchorage eine langwierige Angelegenheit, auch wenn sie eng mit Dutzenden von Unternehmen und Forschern aus dem privaten Sektor zusammenarbeiteten, um ein globales Bild einer noch nie dagewesenen Bedrohung zusammenzustellen.
Bevor sie einen internationalen Fall lösen konnten, musste das FBI-Team zunächst – angesichts der dezentralisierten Arbeitsweise der Bundesgerichte und des Justizministeriums – beweisen, dass Mirai in ihrem speziellen Zuständigkeitsbereich, Alaska, existierte.
Um die Grundlagen für einen Strafprozess zu schaffen, lokalisierte das Team in mühevoller Kleinarbeit infizierte IoT-Geräte mit IP-Adressen in ganz Alaska und erließ dann Vorladungen an das wichtigste Telekommunikationsunternehmen des Bundesstaates, GCI, um einen Namen und einen physischen Standort festzulegen. Die Agenten fuhren dann kreuz und quer durch den Bundesstaat, um die Besitzer der Geräte zu befragen und festzustellen, dass sie keine Erlaubnis erteilt hatten, dass ihre IoT-Käufe von der Mirai-Malware gekapert wurden.
Während sich einige infizierte Geräte in der Nähe von Anchorage befanden, waren andere weiter entfernt; angesichts der Abgelegenheit Alaskas erforderte die Abholung einiger Geräte Flugreisen in ländliche Gemeinden. In einem ländlichen öffentlichen Versorgungsunternehmen, das auch Internetdienste anbot, fanden die Agenten einen enthusiastischen Netzwerktechniker, der dabei half, kompromittierte Geräte aufzuspüren.
‚Ich bin schon gegen einige wirklich harte Jungs angetreten, und diese Jungs waren genauso gut oder besser als einige der osteuropäischen Teams, gegen die ich angetreten bin.
Elliott Peterson, FBI
Nachdem die infizierten Geräte beschlagnahmt und in die FBI-Außenstelle transportiert wurden – ein niedriges Gebäude nur wenige Blocks vom Wasser entfernt in Alaskas bevölkerungsreichster Stadt – mussten die Agenten sie wider Erwarten wieder anschließen. Da die Mirai-Malware nur im Flash-Speicher vorhanden ist, wurde sie jedes Mal gelöscht, wenn das Gerät ausgeschaltet oder neu gestartet wurde. Die Agenten mussten warten, bis das Gerät erneut von Mirai infiziert wurde. Glücklicherweise war das Botnet so infektiös und verbreitete sich so schnell, dass es nicht lange dauerte, bis die Geräte erneut infiziert waren.
Von dort aus arbeitete das Team daran, die Verbindungen des Botnets bis zum Mirai-Hauptserver zurück zu verfolgen. Mit Gerichtsbeschlüssen bewaffnet konnten sie dann die zugehörigen E-Mail-Adressen und Handynummern aufspüren, die für diese Konten verwendet wurden, und die Namen mit den Postfächern in Verbindung bringen.
„Es war eine Menge von Kevin Bacon in sechs Stufen“, erklärt Walton.
An einem Punkt geriet der Fall ins Stocken, weil die Mirai-Autoren in Frankreich eine so genannte „popped box“ eingerichtet hatten, ein kompromittiertes Gerät, das sie als VPN-Knotenpunkt am Ausgang des Internets nutzten, um den tatsächlichen Standort und die von den Mirai-Autoren genutzten physischen Computer zu verschleiern.
Wie sich herausstellte, hatten sie einen Computer gekapert, der einem französischen Kind gehörte, das sich für japanische Anime interessierte. Da Mirai laut einem durchgesickerten Chat nach einer Anime-Serie aus dem Jahr 2011, Mirai Nikki, benannt wurde und das Pseudonym der Autorin Anna-Senpai lautete, war der französische Junge sofort verdächtig.
„Das Profil passte zu jemandem, von dem wir erwarten würden, dass er an der Entwicklung von Mirai beteiligt ist“, sagt Walton; während des gesamten Falls arbeitete das FBI angesichts der OVH-Verbindung eng mit den französischen Behörden zusammen, die bei einigen Durchsuchungsbefehlen anwesend waren.
„Die Akteure waren sehr anspruchsvoll, was ihre Online-Sicherheit angeht“, sagt Peterson. „Ich bin schon gegen einige wirklich harte Jungs angetreten, und diese Jungs waren genauso gut oder besser als einige der osteuropäischen Teams, gegen die ich angetreten bin.“
Zusätzlich zur Komplexität ist DDoS selbst ein bekanntermaßen schwer zu beweisendes Verbrechen – selbst der Nachweis, dass das Verbrechen überhaupt stattgefunden hat, kann im Nachhinein außerordentlich schwierig sein. „DDoS kann in einem Vakuum stattfinden, es sei denn, ein Unternehmen erfasst die Protokolle auf die richtige Weise“, sagt Peterson. Klein, ein ehemaliger UNIX-Administrator, der mit Linux aufgewachsen ist, verbrachte Wochen damit, Beweise zusammenzutragen und Daten neu zusammenzusetzen, um zu zeigen, wie die DDoS-Angriffe abliefen.
Auf den kompromittierten Geräten mussten sie die Daten des Netzwerkverkehrs sorgfältig rekonstruieren und untersuchen, wie der Mirai-Code sogenannte „Pakete“ gegen seine Ziele abfeuerte – ein wenig verstandener forensischer Prozess, der als Analyse von PCAP-Daten (Packet Capture) bekannt ist. Dies ist sozusagen das digitale Äquivalent zur Untersuchung von Fingerabdrücken oder Schmauchspuren. „Es war die komplexeste DDoS-Software, die mir je untergekommen ist“, sagt Klein.
Das FBI kam den Verdächtigen bis Ende des Jahres auf die Spur: Fotos der drei hingen monatelang an der Wand der Außenstelle in Anchorage, wo die Agenten sie in Anspielung auf ihre Jugendlichkeit als „Cub Scout Pack“ bezeichneten. (Eine andere ältere weibliche Verdächtige in einem anderen Fall, deren Foto ebenfalls an der Wand hing, erhielt den Spitznamen „Den Mother“.)
Der Sicherheitsjournalist Brian Krebs, ein frühes Mirai-Opfer, stellte Jha und White im Januar 2017 öffentlich zur Rede. Jhas Familie bestritt zunächst seine Beteiligung, doch am Freitag bekannten sich er, White und Norman der Verschwörung zum Verstoß gegen den Computer Fraud and Abuse Act schuldig, dem Hauptstrafbestandteil der Regierung für Cyberkriminalität. Die Plädoyers wurden am Mittwoch veröffentlicht und von der Abteilung für Computerkriminalität des Justizministeriums in Washington, DC, bekannt gegeben.
Jha wurde auch einer bizarren Reihe von DDoS-Angriffen beschuldigt, die die Computernetzwerke auf dem Rutgers-Campus zwei Jahre lang gestört hatten, und bekannte sich dieser Angriffe schuldig. Seit dem ersten Jahr, in dem Jha dort studierte, wurde Rutgers von einem Dutzend DDoS-Angriffen heimgesucht, die die Netzwerke störten, und die alle mit den Zwischenprüfungen zusammenfielen. Damals drängte eine ungenannte Person im Internet die Universität dazu, bessere DDoS-Abwehrdienste zu kaufen – was, wie sich herausstellte, genau das Geschäft war, das Jha selbst aufzubauen versuchte.
Am Mittwoch sagte Jha in einem Gerichtssaal in Trenton – er trug einen konservativen Anzug und eine Brille mit dunklem Rand, wie man sie von seinem alten LinkedIn-Porträt kennt – dem Gericht, dass er die Angriffe gegen seinen eigenen Campus richtete, wenn sie am störendsten waren – vor allem während der Zwischen- und Abschlussprüfungen und wenn die Studenten versuchten, sich für den Unterricht zu registrieren.
„Sie haben Ihre Angriffe zeitlich abgestimmt, weil Sie den zentralen Authentifizierungsserver überlasten wollten, wenn es für Rutgers am verheerendsten wäre, richtig?“, fragte der Bundesstaatsanwalt.
„Ja“, sagte Jha.
Dass die drei Computerexperten am Ende eine bessere DDoS-Mausefalle gebaut haben, ist nicht unbedingt überraschend; es war ein Gebiet von intensivem intellektuellem Interesse für sie. Ihren Online-Profilen zufolge arbeiteten Jha und White tatsächlich zusammen, um ein Unternehmen zur DDoS-Abwehr aufzubauen; im Monat vor dem Auftauchen von Mirai bezeichnete sich Jha in seiner E-Mail-Signatur als „President, ProTraf Solutions, LLC, Enterprise DDoS Mitigation“
Bei der Entwicklung von Mirai hatte jedes Mitglied der Gruppe seine eigene Rolle, wie aus den Gerichtsunterlagen hervorgeht. Jha schrieb einen Großteil des ursprünglichen Codes und diente als Hauptansprechpartner in Hackerforen unter dem Pseudonym Anna-senpai.
White, der die Online-Pseudonyme Lightspeed und thegenius verwendete, leitete einen Großteil der Botnet-Infrastruktur und entwickelte den leistungsstarken Internet-Scanner, mit dessen Hilfe potenzielle zu infizierende Geräte identifiziert wurden. Die Geschwindigkeit und Effektivität des Scanners war eine der Hauptursachen dafür, dass Mirai im letzten Herbst andere Botnets wie vDOS ausstechen konnte. Auf dem Höhepunkt von Mirai zeigte ein Experiment von The Atlantic, dass ein gefälschtes IoT-Gerät, das die Publikation online erstellt hatte, innerhalb einer Stunde kompromittiert war.
Gerichtsdokumenten zufolge arbeitete Dalton Norman – dessen Rolle im Mirai-Botnet bis zur Veröffentlichung der Plädoyers nicht bekannt war – an der Identifizierung der so genannten Zero-Day-Exploits, die Mirai so mächtig machten. Laut Gerichtsdokumenten identifizierte und implementierte er vier solcher Schwachstellen, die den Geräteherstellern unbekannt waren, als Teil des Mirai-Betriebscodes. Als Mirai dann wuchs, arbeitete er daran, den Code so anzupassen, dass ein weitaus leistungsfähigeres Netzwerk betrieben werden konnte, als sie es sich jemals vorgestellt hatten.
‚Uns allen wurde klar, dass dies nicht nur mein Unternehmen oder mein Netzwerk betrifft, sondern das gesamte Internet in Gefahr bringen könnte.
Justin Paine, Cloudflare
Jha entdeckte schon früh sein Interesse an der Technologie; laut seiner inzwischen gelöschten LinkedIn-Seite beschrieb er sich selbst als „hochgradig selbstmotiviert“ und erklärte, dass er in der siebten Klasse begann, sich selbst das Programmieren beizubringen. Sein Interesse an Wissenschaft und Technik war breit gefächert: Im darauffolgenden Jahr gewann er den zweiten Preis bei der Wissenschaftsmesse der achten Klasse an der Park Middle School in Fanwood, New Jersey, für sein Ingenieursprojekt, das die Auswirkungen von Erdbeben auf Brücken untersuchte. 2016 gab er an, er beherrsche „C#, Java, Golang, C, C++, PHP, x86 ASM, ganz zu schweigen von Web-‚Browsersprachen‘ wie Javascript und HTML/CSS.“ (Ein früher Hinweis für Krebs, dass Jha wahrscheinlich an Mirai beteiligt war, war, dass die Person, die sich selbst Anna-Senpai nannte, ihre Fähigkeiten mit den Worten auflistete: „Ich bin sehr vertraut mit der Programmierung in einer Vielzahl von Sprachen, einschließlich ASM, C, Go, Java, C# und PHP.)
Es ist nicht das erste Mal, dass Teenager und College-Studenten wichtige Schwachstellen im Internet aufdecken: Der erste große Computerwurm wurde im November 1988 von Robert Morris, damals Student an der Cornell University, freigesetzt, und der erste größere Eingriff in die Computernetze des Pentagons – ein Fall, der als Solar Sunrise bekannt wurde – erfolgte ein Jahrzehnt später, 1998; er war das Werk zweier kalifornischer Jugendlicher in Zusammenarbeit mit einem israelischen Zeitgenossen. DDoS selbst kam im Jahr 2000 auf, ausgelöst von einem Teenager aus Quebec, Michael Calce, der unter dem Namen Mafiaboy online ging. Am 7. Februar 2000 richtete Calce ein Netzwerk von Zombie-Computern, die er aus Universitätsnetzwerken zusammengestellt hatte, gegen Yahoo, die damals größte Suchmaschine im Internet. In den darauffolgenden Tagen nahm Calce weitere Top-Websites wie Amazon, CNN, eBay und ZDNet ins Visier.
Auf einer Telefonkonferenz, auf der die Schuldbekenntnisse am Mittwoch bekannt gegeben wurden, sagte Richard Downing, stellvertretender stellvertretender Generalstaatsanwalt des Justizministeriums, dass der Mirai-Fall die Gefahren für junge Computernutzer unterstreicht, die sich im Internet verirren, und dass das Justizministerium plant, seine Bemühungen um Jugendliche zu erweitern.
„Man hat mir auf jeden Fall das Gefühl gegeben, sehr alt zu sein und nicht mehr mithalten zu können“, scherzte Staatsanwalt Adam Alexander am Mittwoch.
Was die Ermittler jedoch wirklich überraschte, war, dass sie, sobald sie Jha, White und Norman im Visier hatten, herausfanden, dass die Schöpfer von Mirai bereits eine neue Verwendung für ihr leistungsstarkes Botnetz gefunden hatten: Sie hatten DDoS-Angriffe zugunsten einer weniger auffälligen, aber ebenfalls lukrativen Tätigkeit aufgegeben.
Sie nutzten ihr Botnet für ein ausgeklügeltes Klick-Betrugssystem, bei dem sie etwa 100.000 kompromittierte IoT-Geräte, vor allem Heimrouter und Modems, dazu brachten, massenhaft Werbelinks zu besuchen und so den Anschein zu erwecken, sie seien normale Computernutzer. Sie verdienten Tausende von Dollar pro Monat, indem sie US-amerikanische und europäische Werbetreibende betrogen, und zwar völlig unbemerkt, ohne dass jemand etwas davon mitbekam. Für die Ermittler war dies ein bahnbrechendes Geschäftsmodell für ein IoT-Botnet.
Wie Peterson sagt: „Hier gab es ein völlig neues Verbrechen, für das die Industrie blind war. Wir haben es alle verpasst.“
Auch wenn der Fall in Alaska und New Jersey abgeschlossen ist – die drei Angeklagten werden später verurteilt – geht die Mirai-Plage, die Jha, White und Dalton entfesselt haben, online weiter. „Diese spezielle Saga ist vorbei, aber Mirai lebt weiter“, sagt Paine von Cloudflare. „Es besteht nach wie vor ein erhebliches Risiko, da der Open-Source-Code von neuen Akteuren weiterverwendet wird. All diese neuen, aktualisierten Versionen sind immer noch im Umlauf.“
Vor zwei Wochen, Anfang Dezember, tauchte ein neues IoT-Botnet online auf, das Aspekte des Mirai-Codes verwendet.
Das unter dem Namen Satori bekannte Botnet infizierte in den ersten 12 Stunden eine Viertelmillion Geräte.
Garrett M. Graff (@vermontgmg) ist Redakteur bei WIRED. Sie erreichen ihn unter [email protected].
Dieser Artikel wurde aktualisiert, um zu verdeutlichen, dass Mirai ein Hosting-Unternehmen namens Nuclear Fallout Enterprises und nicht ein Spiel namens Nuclear Fallout angegriffen hat.
Massive Hacks
-
Wie eine Schwachstelle in Hotelschlüsselkarten auf der ganzen Welt einem Einbrecher die Chance seines Lebens bot.
-
Das bizarre Zusammentreffen von Enthüllungen, die zur Entdeckung der Sicherheitslücken Meltdown und Spectre führten.
-
Und für alle, die ihr Hacker-Lexikon auffrischen wollen, eine kurze Zusammenfassung von „Sinkholing“.