Ein international koordinierter Schlag gegen Cyberkriminelle ist deutschen Ermittlern gemeinsam mit Partnern aus den USA und Kanada gelungen: Die Behörden haben die Infrastruktur der beiden mutmaßlich weltweit größten Botnetze „Aisuru“ und „Kimwolf“ abgeschaltet. Millionen gekaperte Geräte sollen für DDoS-Angriffe und als Tarnnetz für kriminelle Internetaktivitäten missbraucht worden sein.
Bei einem international abgestimmten Einsatz haben die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW), das Bundeskriminalamt (BKA) sowie Strafverfolgungsbehörden aus Kanada und den USA zwei große Botnetze ins Visier genommen. Nach Angaben der Ermittler wurde am 19. März die weltweit verteilte technische Infrastruktur der Netzwerke „Aisuru“ und „Kimwolf“ stillgelegt.
Aus Sicht der Behörden handelte es sich um eine erhebliche Gefahr für IT-Systeme weltweit. Beide Botnetze sollen wegen ihrer Größe und ihrer massiven Angriffskapazitäten zu den derzeit bedrohlichsten ihrer Art gehört haben.
Zwei mutmaßliche Administratoren identifiziert
Nach Angaben der Ermittler konnten zudem zwei mutmaßliche Betreiber identifiziert werden. Gegen die Beschuldigten wurden Durchsuchungen in Deutschland und Kanada durchgeführt. Dabei stellten die Behörden umfangreiche Beweismittel sicher, darunter zahlreiche Datenträger sowie Kryptowährungen im fünfstelligen Bereich.
Dem Zugriff gingen monatelange Ermittlungen voraus. Die Behörden sprechen von technisch anspruchsvollen Analysen und einer engen internationalen Abstimmung.
Millionen gekaperte Geräte
Die beiden Botnetze sollen aus mehreren Millionen kompromittierten Geräten bestanden haben. Beim Netzwerk Aisuru gehen die Ermittler vor allem von gekaperten Internet-of-Things-Geräten aus – etwa Routern, Webcams oder anderen dauerhaft mit dem Internet verbundenen Geräten.
Das damit verbundene Botnetz Kimwolf soll ebenfalls mehrere Millionen infizierte Systeme umfasst haben, überwiegend Android-TV-Boxen.
Solche Geräte werden nach Darstellung der Behörden häufig unbemerkt mit Schadsoftware infiziert. Die Betreiber merken davon in der Regel nichts. Anschließend lassen sich die kompromittierten Systeme aus der Ferne steuern und für groß angelegte Angriffe missbrauchen.
Missbrauch für DDoS-Angriffe und als Proxy-Netzwerk
Im Mittelpunkt standen laut den Ermittlern vor allem DDoS-Attacken – also Überlastungsangriffe, bei denen Zielserver mit einer enormen Zahl von Anfragen lahmgelegt werden. Gerade wegen solcher besonders volumenstarken Attacken seien die Netzwerke in Fachkreisen bereits aufgefallen.
Zusätzlich wurde das Botnetz Kimwolf nach Behördenangaben teilweise als sogenanntes Residential-Proxy-Netzwerk vermietet. Das bedeutet: Dritte konnten gegen Bezahlung auf die infizierten Geräte zugreifen und deren Internetanschlüsse als Tarnschicht nutzen – ohne Wissen der eigentlichen Besitzer.
Für Kriminelle ist das besonders attraktiv, weil Internetaktivitäten dann so aussehen, als stammten sie von privaten Haushalten und nicht von verdächtigen Servern oder Rechenzentren.
Infektion oft ohne Zutun der Nutzer
Besonders problematisch: Eine Infektion mit der Schadsoftware kann laut den Behörden ohne aktives Zutun der Betroffenen erfolgen. Die Malware werde gezielt auf verwundbare, mit dem Internet verbundene Geräte verteilt – vor allem dann, wenn Sicherheitslücken bestehen oder Updates fehlen.
Als besonders gefährdet gelten ältere oder schlecht abgesicherte IoT-Geräte sowie Android-basierte Hardware mit unzureichenden Schutzmechanismen. Zusätzliche Risiken entstehen durch schwache oder nie geänderte Standardpasswörter.
BSI leitete Datenverkehr um
Unterstützt wurden die Maßnahmen vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Behörde half nach eigenen Angaben mit technischen Analysen und setzte ein sogenanntes Sinkholing ein. Dabei wird der Datenverkehr eines Botnetzes auf kontrollierte Systeme umgeleitet, um die Kommunikation mit der Täterinfrastruktur zu unterbrechen und weitere Schäden zu verhindern.
Zugleich warnt das BSI betroffene Bürgerinnen und Bürger über deren Internetprovider gezielt vor möglichen Infektionen.
Warnsignal für den Alltag
Der Fall zeigt einmal mehr, wie leicht Alltagsgeräte zur Waffe im Netz werden können: Webcams, Router oder TV-Boxen, die schlecht abgesichert im Wohnzimmer stehen, können unbemerkt Teil globaler Angriffsnetzwerke werden.
Dass die Behörden nun gleich zwei große Botnetze gleichzeitig ausgehoben haben, ist ein seltener Erfolg. Das Problem aber bleibt strukturell: Solange Millionen billiger, schlecht gewarteter Internetgeräte online sind, wächst der Nachschub für die nächste Botnetz-Welle praktisch von selbst.
Kurzfazit
Der Schlag gegen „Aisuru“ und „Kimwolf“ ist ein seltener Erfolg im Kampf gegen Cyberkriminalität. Doch der Fall zeigt vor allem, wie verwundbar das vernetzte Alltagsleben geworden ist: Nicht nur Serverfarmen, sondern Router, Webcams und TV-Boxen aus Privathaushalten bilden längst das Rückgrat globaler Angriffe.
Kommentar hinterlassen