Das US-Justizministerium hat in Zusammenarbeit mit dem Defense Criminal Investigative Service die Abschaltung von vier Botnetzen bekannt gegeben, die eine erstaunliche Anzahl kompromittierter Geräte angehäuft hatten. Die Botnetze, bekannt als JackSkid, Mossad, Aisuru und Kimwolf, wurden für groß angelegte Distributed-Denial-of-Service (DDoS)-Angriffe eingesetzt, die Internetdienste und Websites störten. ### Aisuru und Kimwolf: Ein formidables Duo **Aisuru** und **Kimwolf** operierten zwar getrennt, aber in Verbindung und umfassten über eine Million Geräte. Laut **Cloudflare** infizierte Aisuru eine Reihe von Geräten, darunter DVRs, Netzwerkgeräte und Webcams. Kimwolf, ein Ableger von Aisuru, zielte auf Android-Geräte wie Smart-TVs und Set-Top-Boxen ab. Die kombinierte Stärke dieser beiden Botnetze zeigte sich im letzten November bei einem Rekordangriff auf einen Cloudflare-Kunden, der über 30 Terabit pro Sekunde erreichte – fast das Dreifache der Größe des bisher größten Angriffs. ### Internationale Zusammenarbeit Obwohl keine sofortigen Verhaftungen bekannt gegeben wurden, erklärte das Justizministerium, dass es mit kanadischen und deutschen Behörden zusammenarbeitet, um die Betreiber dieser Botnetze ins Visier zu nehmen. US-Staatsanwalt Michael J. Heyman betonte das Engagement der USA für den Schutz kritischer Internetinfrastrukturen und die Bekämpfung von Cyberkriminellen. ### Aisurus Herrschaft der Störung Aisuru hatte sich durch eine Reihe von rekordverdächtigen Cyberangriffen im letzten Herbst einen Namen gemacht. Die Fähigkeiten des Botnetzes wurden vermietet und zielten auf Gaming-Dienste wie *Minecraft* und den unabhängigen Cybersicherheitsjournalisten **Brian Krebs** ab. Krebs, der die Botnet-Unterwelt ausführlich untersuchte, wurde wiederholt von Aisuru angegriffen. Im November absorbierte Cloudflare einen kombinierten Rekordangriff von Aisuru und Kimwolf, der nur 35 Sekunden dauerte, aber 31,4 Terabit pro Sekunde erreichte, ein Angriffsvolumen, das fast dreimal so groß war wie alle zuvor gesehenen. Cloudflare beschrieb den maximalen Angriffstraffik der kombinierten Aisuru- und Kimwolf-Botnetze als vergleichbar mit „den kombinierten Bevölkerungen des Vereinigten Königreichs, Deutschlands und Spaniens, die gleichzeitig eine Webadresse eingeben und dann im selben Moment auf ‚Enter‘ drücken“. Laut den Analysten von Cloudflare war das Botnetz in der Lage, „DDoS-Angriffe zu starten, die kritische Infrastrukturen lahmlegen, die meisten älteren Cloud-basierten DDoS-Schutzlösungen zum Absturz bringen und sogar die Konnektivität ganzer Nationen stören können“. ### Mirais Vermächtnis Alle vier Botnetze waren Varianten von **Mirai**, einem Internet-of-Things-Botnetz, das 2016 auftauchte. Mirais Codebasis diente seitdem als Grundlage für zahlreiche andere IoT-Botnetze. Die bei der jüngsten Zerschlagung ins Visier genommenen Botnetze hatten neue Techniken entwickelt, um Geräte zu infizieren, auf die selbst Mirai keinen Zugriff hatte. ### Kimwolfs Residential-Proxy-Fähigkeiten Kimwolf nutzte billige, internetfähige Gadgets als „Residential Proxies“, die es Hackern ermöglichten, Geräte zu kompromittieren, die normalerweise hinter Heimroutern geschützt waren. Chad Seaman, ein leitender Sicherheitsforscher bei **Akamai**, merkt an, dass diese Entwicklung „wirklich die Grundlagen dessen erschütterte, was wir als sicheres Heimnetzwerk betrachteten“. Seaman hob auch das Katz-und-Maus-Spiel zwischen Cybersicherheitsforschern, Strafverfolgungsbehörden und den Botnet-Betreibern hervor, die innovative Taktiken wie die Verlagerung ihres Domain Name Systems in die Ethereum-Blockchain anwendeten, um die Übernahme von Command-and-Control-Servern zu vermeiden. ### Der unvermeidliche Wiederaufbau Trotz des Erfolgs der Zerschlagung glaubt Seaman, dass unweigerlich neue Botnetze entstehen werden. „Das Katz-und-Maus-Spiel geht weiter. Man fängt eine Maus, und 10 andere huschen unter den Kühlschrank“, sagt er. „Die Katzen werden die fetten Mäuse priorisieren. Aber es ist ein langes Spiel.“