Das US-Justizministerium hat bekannt gegeben, dass der 23-jährige kanadische Staatsbürger Jacob Butler (Pseudonym Dort) aus Ottawa wegen der Entwicklung und Administration des DDoS-Botnetzes Kimwolf festgenommen wurde. Das Botnet, eine Variante von AISURU, infizierte IoT-Geräte – digitale Bilderrahmen und Webcams – und wurde genutzt, um den Zugriff darauf nach dem Modell „Cybercrime-as-a-Service“ zu verkaufen. Zu den Angriffszielen gehörten IP-Adressen des Informationsnetzes des US-Verteidigungsministeriums (DoDIN), und die Spitzenlast des DDoS-Traffics erreichte 31,4 Tbit/s. Butler wird Beihilfe zu unbefugtem Zugriff auf Computersysteme vorgeworfen – ihm drohen bis zu 10 Jahre Freiheitsstrafe.

Funktionsweise des Botnetzes und Monetarisierungsmodell

Kimwolf zielte gezielt auf Geräte ab, die traditionell dank Firewalls als vor direktem Zugriff aus dem Internet geschützt galten: digitale Bilderrahmen und Webcams. Infizierte Geräte wurden in das Botnet aufgenommen, woraufhin die Betreiber den Zugriff darauf an andere Cyberkriminelle verkauften. Dieses „Cybercrime-as-a-Service“-Modell ermöglichte es Kunden, die kompromittierten Geräte für DDoS-Angriffe auf Ziele weltweit einzusetzen.

Nach Angaben des Justizministeriums hat Kimwolf während seines Betriebs mehr als 25.000 Befehle zu Angriffen ausgeführt. Bis zur Zerschlagung der Infrastruktur wurden die Botnetze AISURU/Kimwolf mit DDoS-Angriffen in Verbindung gebracht, die Rekordwerte bei der Leistung erreichten und Junk-Traffic mit einem Spitzenwert von 31,4 Tbit/s generierten. Zum Vergleich: Ein solches Verkehrsvolumen kann praktisch jede ungeschützte Infrastruktur überlasten und stellt selbst für die größten DDoS-Schutzanbieter eine erhebliche Belastung dar.

Unter den mit der Operation verbundenen Indikatoren einer Kompromittierung findet sich die Domain resi[.]to, über die laut Gerichtsunterlagen die Koordination der Botnet-Aktivitäten in Discord erfolgte.

Attribution und Beweisgrundlage

Die Verbindung Butlers zur Administration von Kimwolf wurde auf Basis von IP-Adressen, Daten aus Online-Konten und aufgezeichneten Discord-Nachrichten hergestellt, die von einem mit resi[.]to verknüpften Account veröffentlicht wurden. Es ist zu betonen, dass es sich bis zu einer gerichtlichen Entscheidung weiterhin um Anschuldigungen handelt – die Attribution beruht auf Unterlagen eines Strafverfahrens, das in der Sache noch nicht verhandelt wurde.

Die Festnahme war die logische Fortsetzung einer zwei Monate zuvor durchgeführten Operation: Die US-Behörden haben gemeinsam mit Kanada und Deutschland die Command-and-Control-(C2-)Infrastruktur zerschlagen, die mit den Botnetzen Kimwolf, AISURU, JackSkid und Mossad verbunden war. Diese Operation war gerichtlich genehmigt.

Umfangreiche Zerschlagung von DDoS-Infrastruktur

Parallel zu Butlers Festnahme wurden Beschlüsse zur Beschlagnahme von Online-Diensten veröffentlicht, die den Betrieb von 45 DDoS-for-hire-Plattformen (DDoS auf Bestellung) ermöglichten. Strafverfolgungsbehörden erhielten damit die Möglichkeit, diese Plattformen abzubauen. Wie berichtet, arbeitete eine der abgeschalteten Plattformen direkt mit Kimwolf zusammen.

Die gleichzeitige Zerschlagung von 45 Plattformen ist ein bedeutender Schlag gegen das Ökosystem der DDoS-Dienste. Solche Plattformen senken die Einstiegshürde für Angriffe: Kunden benötigen keine technischen Kenntnisse, es genügt, ein Abonnement zu bezahlen und ein Ziel anzugeben. Die Vernichtung der Infrastruktur in Kombination mit der Festnahme des Botnet-Operators stellt einen kombinierten Ansatz dar, der darauf abzielt, sowohl das Angebot als auch die Nachfrage in diesem Segment der Cyberkriminalität zu zerstören.

Bewertung der Auswirkungen

Die Angriffe von Kimwolf betrafen ein breites Spektrum an Zielen, am beunruhigendsten ist jedoch der Umstand, dass IP-Adressen des Informationsnetzes des US-Verteidigungsministeriums angegriffen wurden. Das hebt die Aktivitäten des Botnetzes aus der Kategorie gewöhnlicher Cyberkriminalität in den Bereich von Bedrohungen für die nationale Sicherheit. Besitzer von IoT-Geräten – digitalen Bilderrahmen, Webcams und ähnlicher Hardware – wurden unfreiwillig zu Teilnehmern der Angriffe, da ihre Geräte ohne ihr Wissen genutzt wurden.

Die Angriffsstärke von 31,4 Tbit/s zeigt das Ausmaß der kompromittierten Infrastruktur: Zur Erzeugung eines solchen Verkehrsvolumens sind Zehntausende oder Hunderttausende kompromittierter Geräte erforderlich.

Empfehlungen

• Für Besitzer von IoT-Geräten: Prüfen Sie die Firmware digitaler Bilderrahmen, IP-Kameras und anderer verbundener Geräte. Aktualisieren Sie auf die neuesten Versionen, ändern Sie Standardpasswörter, deaktivieren Sie UPnP und den direkten Zugriff aus dem Internet.
• Für Netzwerkadministratoren: Führen Sie ein Audit des ausgehenden Traffics in IoT-Segmenten auf ungewöhnliche Volumen oder Verbindungen zu unbekannten C2-Servern durch. Isolieren Sie IoT-Geräte in eigene VLANs mit eingeschränktem Zugriff.
• Für Infrastrukturbetreiber: Prüfen Sie in DNS-Logs, ob Verbindungen zur Domain resi[.]to bestehen – dies kann auf kompromittierte Geräte im Netzwerk hinweisen.
• Für Organisationen mit DDoS-Schutz: Stellen Sie sicher, dass Ihre Lösungen Angriffe mit einem Volumen von mehr als 30 Tbit/s verarbeiten können, und testen Sie Ihre Pläne zur Reaktion auf DDoS-Vorfälle.

Butlers Festnahme und die gleichzeitige Zerschlagung von 45 DDoS-for-hire-Plattformen zeigen einen Strategiewechsel der Strafverfolgungsbehörden: Anstelle punktueller Maßnahmen wird ein ganzheitlicher Ansatz verfolgt, der die gesamte Kette zerstört – vom Botnet-Operator bis zu den Enddiensten für den Verkauf von Angriffen. Für Besitzer von IoT-Geräten ist jetzt die wichtigste Maßnahme, eine Bestandsaufnahme der vernetzten Hardware vorzunehmen, Firmware zu aktualisieren und sicherzustellen, dass Geräte nicht direkt aus dem Internet erreichbar sind, da genau solche Geräte das Rückgrat von Kimwolf bildeten.