Brian Krebs will Autor der Mirai-Malware nach Monaten enttarnt haben

Der Security-Experte Brian Krebs hatte sich in den letzten Monaten tief in der Recherche zur Mirai-Malware vergraben. Und nun will er endlich die Identität derer enträtselt haben, die diese auf das Netz losgelassen und damit für die heftigsten bisher gemessenen DDoS-Attacken gesorgt haben. Krebs gehörte im vergangenen September selbst zu den Opfern der Malware. Ein großes Botnetz, das Mirai vor allem aus vernetzten Überwachungskameras und Videorecordern geknüpft hatte, attackierte seine Webseite mit einer Wucht von 620 Gigabit pro Sekunde. Kurz darauf wurden Minecraft-Server beim Hoster OVH mit fast einem Terabit pro Sekunde beschossen.

Wenig später wurde der Quellcode von Mirai überraschend offen ins Netz gestellt. Ein Nutzer unter dem Pseudonym "Anna-senpai" erklärte, dass die Malware für ihn ihren Dienst erledigt hätte und er sich aus dem DDoS-Geschäft zurückziehen wolle. Verschiedene Kriminelle ergriffen natürlich die Gelegenheit und bauten mit dem Quellcode eigene Mirai-Varianten und konstruierten so eigene Botnetze.

Krebs hingegen hängte sich hinter die Frage, wer hinter dem Nickname Anna-senpai steckt. Wie er berichtete, habe er jetzt über Monate gegraben und Hinweise und Indizien gesammelt. Nun soll der Zeitpunkt gekommen sein, an dem er mit ziemlicher Sicherheit die Identität des Angreifers und auch eines Komplizen kennt. Infografik: DDOS-Angriffe auf dem Vormarsch

Spur führt in die Minecraft-Szene

Im Zuge seiner Ermittlungen, so berichtet Krebs, habe er herausgefunden, dass Mirai nur die letzte Version einer ganzen Reihe von IoT-Malwares darstellt, die seit drei Jahren Aktivitäten entfalteten. Darüber führten die Spuren zu verschiedenen Betreibern von Minecraft-Servern, die sich durchaus gelegentlich versuchten Kunden abzujagen, indem sie die Konkurrenz mit DDoS-Attacken lahmlegten.

Eine zunehmend zentrale Rolle in den Ermittlungen kam einer Firma namens ProTraf Solutions zu, in die der Mirai-Autor wohl führend eingebunden war. Dieser entpuppte sich laut Krebs letztlich als ein 20-Jähriger aus dem kleinen Ort Fanwood im US-Bundesstaat New Jersey. Dieser führt auf seiner LinkedIn-Seite auch die gleichen Programmierkenntnisse auf, mit denen sich Anna-senpai in den Hackforums beschreibt.

Davon ausgehend tauchte Krebs weiter - immerhin kann solch eine Übereinstimmung auch zufällig zustande kommen. Es zeigte sich aber auch, dass die fragliche Person schon früher unter anderen Pseudonymen aktiv war und die Spuren immer wieder zur gleichen konkreten Person führten. Krebs schaffte es letztlich, die fragliche Person auch mit seinen Vorwürfen zu konfrontieren - allerdings wies diese die Anschuldigungen zurück.

Weiteres werden nun wohl die entsprechenden Fachleute von den Ermittlungsbehörden festmachen müssen. Wie Krebs ausführte, gab ihm die Sache allerdings einen guten Eindruck davon, warum so wenige aktive Personen aus dem Cybercrime-Bereich verurteilt werden können: Die zuständigen Polizeibehörden dürften kaum die Kapazitäten haben, um in allen möglichen Fällen ähnlich tiefgreifende Ermittlungen durchzuführen.