Die Behörden der USA und Kanadas haben die Festnahme des 23-jährigen Ottawa-Bewohners Jacob Butler (Alias Dort) bekanntgegeben, dem die Administration des DDoS-Botnets Kimwolf vorgeworfen wird. Nach Angaben des US-Justizministeriums wurde diese Plattform für mehr als 25.000 Angriffe weltweit eingesetzt, wobei die Spitzenleistung einzelner Attacken bis zu 31,4 Tbit/s erreicht haben soll. Das Botnet arbeitete im Abomodell und stellte anderen Angreifern Zugriff auf die infizierten Geräte zur Verfügung. Besitzer von Android-Set-Top-Boxen, Streaming-Geräten und IoT-Hardware sollten prüfen, ob auf ihren Geräten Android Debug Bridge aktiviert ist.
Wie Kimwolf funktionierte
Den Anklageunterlagen zufolge handelte es sich bei Kimwolf um eine Variante des Botnets Aisuru, das als DDoS-Service im Abonnement betrieben wurde – ein klassisches cybercrime-as-a-service-Modell. Die Betreiber vermieteten die Botnet-Kapazitäten an andere Hacker, die sie für verteilte Angriffe zur Dienstverweigerung nutzten.
Der Hauptinfektionsvektor waren Android-basierte Geräte mit offenem Android Debug Bridge (ADB)-Interface. Zu den laut Anklage kompromittierten Geräten gehörten:
- Android-Set-Top-Boxen und Streaming-Geräte
- Webcams und IP-Kameras
- Digitale Bilderrahmen
- Router und Digitalrekorder (DVR)
- Sonstige IoT-Geräte
Charakteristisch war, dass ein erheblicher Teil der infizierten Geräte sich hinter NAT befand und nicht direkt aus dem Internet erreichbar war, was ihre Entdeckung und Bereinigung erschwerte. In den Unterlagen des Gerichtsverfahrens taucht außerdem der Account resi[.]to auf, der mutmaßlich mit einer Infrastruktur für Residential Proxies in Verbindung steht.
Umfang und Ziele der Angriffe
Nach Angaben des US-Justizministeriums wurde das Botnet für mehr als 25.000 Angriffe weltweit eingesetzt. Zu den Zielen gehörten IP-Adressen des DoDIN-Netzes, das mit der Infrastruktur des US-Verteidigungsministeriums verbunden ist. Die Anklage behauptet, einige betroffene Organisationen hätten Schäden von über einer Million US-Dollar erlitten.
Die angegebene Spitzenauslastung von 31,4 Tbit/s würde – sofern sich diese Zahl bestätigt – die Kimwolf-Angriffe in die Reihe der leistungsstärksten jemals registrierten DDoS-Vorfälle stellen. Zum Vergleich: Die größten in den letzten Jahren öffentlich dokumentierten Attacken wurden in einzelnen Tbit/s gemessen. Diese Schätzung stammt jedoch ausschließlich von der Anklage und ist bislang nicht durch unabhängige Telemetriedaten bestätigt.
Ermittlungsverlauf und Festnahme
Die Ermittler identifizierten den Verdächtigen mithilfe einer Kombination aus IP-Adressen, Daten aus Online-Accounts, Transaktionshistorien und Discord-Kommunikation. Butler wurde in Ottawa auf Ersuchen der US-Behörden festgenommen. Ihm wird Beihilfe bei der Durchführung von Computerangriffen vorgeworfen – ein Straftatbestand, der mit bis zu 10 Jahren Freiheitsstrafe geahndet werden kann. Es ist hervorzuheben, dass alle Vorwürfe derzeit lediglich Behauptungen der Staatsanwaltschaft sind und noch nicht durch ein Gerichtsurteil bestätigt wurden.
Die Festnahme erfolgte rund zwei Monate nach einer gemeinsamen internationalen Operation der Strafverfolgungsbehörden aus den USA, Kanada und Deutschland, in deren Rahmen die Steuerungsinfrastruktur von vier Botnets abgeschaltet wurde: Aisuru, Kimwolf, JackSkid und Mossad. Nach Angaben der Behörden haben diese Botnets zusammen über 3 Millionen IoT-Geräte infiziert.
Parallel zur Festnahme genehmigte ein Gericht in Kalifornien die Beschlagnahme der Domains von 45 Services, die DDoS-Angriffe als Auftragsleistung anbieten. Den Ermittlungen zufolge arbeitete mindestens eine dieser Plattformen mit Kimwolf zusammen. Ein Teil der beschlagnahmten Domains zeigt nun einen Warnhinweis zur Illegalität von DDoS-Angriffen an.
Empfehlungen zum Schutz
Angesichts der Tatsache, dass der offene Android Debug Bridge-Zugang der Hauptinfektionsvektor von Kimwolf war, wird Besitzern von Android-Geräten und IoT-Hardware Folgendes empfohlen:
- ADB deaktivieren auf allen Geräten, auf denen Debugging nicht aktiv genutzt wird. Auf Android-Set-Top-Boxen und Streaming-Geräten bleibt ADB häufig standardmäßig aktiviert.
- Netzwerkverbindungen prüfen – sicherstellen, dass Port 5555 (Standardport für ADB über das Netzwerk) auf den Geräten im lokalen Netz nicht offen ist. Der Befehl
nmap -p 5555 192.168.0.0/24hilft, verwundbare Geräte zu identifizieren. - Firmware aktualisieren der IoT-Geräte auf aktuelle Versionen. Günstige Android-Set-Top-Boxen von wenig bekannten Herstellern erhalten oft keine Sicherheitsupdates – solche Geräte sollten in ein eigenes Segment des Netzwerks isoliert oder ausgetauscht werden.
- Netzwerksegmentierung einrichten – IoT-Geräte in ein eigenes VLAN mit eingeschränktem Zugriff auf das Internet und andere Segmente auslagern.
- Anomalen ausgehenden Traffic überwachen – ein plötzlicher Anstieg des ausgehenden Datenvolumens von IoT-Geräten kann auf eine Beteiligung an einem Botnet hindeuten.
Der Fall Kimwolf zeigt anschaulich, wie kostengünstige Android-Geräte mit offenem Debug-Interface zum Baumaterial für Botnets mit Rekordleistung werden. Die Deaktivierung von ADB und die Netzisolation von IoT-Geräten sind Mindestmaßnahmen, die das Risiko, dass Ihre Geräte in eine derartige Infrastruktur eingebunden werden, deutlich senken. Organisationen, die Android-Set-Top-Boxen oder IP-Kameras in Unternehmensumgebungen einsetzen, sollten die Prüfung dieser Geräte mit hoher Priorität durchführen.
