Jetzt ist es raus: Es waren drei 'Minecraft'-Gamer, die das halbe Internet lahmlegten

Es war ein gut vorbereiteter, fein kalibrierter Großangriff auf das Internet: Als im September 2016 eine Armee gekaperter Computer zentrale Knotenpunkte des WWW attackierte und lahm legte, brachte sie weite Teile des Netzes für einen Moment zum Stillstand. So mancher dachte da zunächst an Russland. Oder an China, zumindest aber an Cyberkrieg oder irgendeinen Geheimdienst, der seine Finger im Spiel gehabt haben müsse. Denn die Macht der Bots war so groß, dass jemand mit staatlichen Ressourcen dahinter stecken musste.

Jetzt kommt ein gutes Jahr später heraus: Hinter dem mächtigen Botnetz "Mirai" stecken ein paar Studenten und Gamer, die eigentlich nur ein bisschen was vom Kuchen des beliebten Online-Spiels Minecraft abhaben wollten. Die drei müssen sich derzeit vor einem Gericht in Alaska wegen Hacking-Vorwürfen verantworten, unter anderem für ihre konzertierten Angriffe auf die Server von Minecraft.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Um das Open-World-Spiel hat sich mittlerweile eine ganze Industrie gebildet: Zahlreiche Spieleserver konkurrieren um die weltweit bis zu 55 Millionen Spieler pro Monat. Der Plan der drei jungen Hacker: Durch gezielte Angriffe wollten sie ausgewählte Minecraft-Server massiv stören, um verärgerte Gamer in die Arme der anderen Server zu treiben. Diesen Dienst wollten sich die Hacker von der Konkurrenz bezahlen lassen. Doch "ihnen war nicht klar, welche Macht sie damit entfesseln", zitiert die Tech-Seite Wired einen FBI-Ermittler. "Es war das erste Botnetz, das das Internet in seiner Existenz bedrohte", so ein anderer Ermittler.

Paras J., 21 Jahre jung, und seine zwei Freunde Josiah W. und Dalton N., haben nun vor Gericht gestanden, das Botnetz "Mirai" geschrieben und eingesetzt zu haben. Mit "Mirai" konnten die drei zahllose internetfähige Geräte wie WLAN-Router, Drucker oder Videokameras kapern und sogenannte DDoS-Attacken ausführen. Bei "Distributed-Denial-of-Service"-Attacken werden Server und Webseiten durch massenhafte Anfragen überlastet und lahmgelegt. Je mehr Geräte gleichzeitig eine Anfrage an die Webseite schicken, desto wahrscheinlicher ist ein Zusammenbruch der Seite.

Die Vorgehensweise klingt einfach: Der Code grast das Netz nach internetfähigen Büro- und Haushaltsgeräten ab, kapert diese und benutzt sie als Werkzeuge, um DDOS-Attacken auszuführen. Dabei macht er sich die Tatsache zunutze, dass WLAN-verbundene Heimgeräte wie Webcams oder "smarte" Toaster häufig nur mit schwachen oder den standardmäßig eingestellten Passwörtern geschützt sind. Auf diese Weise konnte "Mirai" laut Analysten über 600.000 Geräte – darunter auch Babyfone, Thermostate und Glühbirnen – unter seine Kontrolle bringen und eine riesige Bot-Armee aufbauen.

Doch nicht nur die Spieleserver von Minecraft gerieten unter die Räder der riesigen Internetarmee. Am 19. September 2016 schickten die Hacker ihre digitalen Söldner auf den französischen Provider OVH. Die Firma, die laut eigenen Angaben über 1.000 DDoS-Angriffe pro Tag aushalten muss, war dennoch nicht auf "Mirai" vorbereitet. Über 145.000 infizierte Geräte mit einer Schlagkraft von einem Terrabit pro Sekunde (Tbps) griffen den Provider an und ließen sein gesamtes Netzwerk zusammenbrechen.

Zwei der drei Hacker verfolgten darüber hinaus ein ungewöhnliches, aber offenbar einträgliches Geschäftsmodell: Sie arbeiteten bei einer Firma, die Hilfe bei DDoS-Attacken anbietet, die die Hacker selber ausführen. Der amerikanische Sicherheitsanalyst Brian Krebs hatte zu dieser Zeit einen Artikel über eine andere IT-Klitsche veröffentlicht, die vorgibt, Unternehmen vor DDoS-Attacken zu schützen, diese aber heimlich selber ausführt. Wenige Tage später wurde auch Krebs' Website von "Mirai" angegriffen und lahmgelegt. Selbst Akamai, einer der weltweit größten Anbieter von Internet-Bandbreite und Krebs' Sicherheitsdienstleister für solche Fälle, knickte vor den ständigen Angriffswellen auf dessen Website ein. Akamai sprach später von der größten DDoS-Attacke, mit der die Firma je zu tun hatte.

Verschlimmert haben die drei "super-intelligenten Kids", wie ein FBI-Ermittler sie nannte, die ganze Sache noch, als sie die mächtige Cyberwaffe als Open Source ins Netz stellten. Paras J. meldete sich nach dem Angriff am 30. September auf einem szenebekannten Hacker-Forum. Weil er die "feuchten Träume" der Community kenne, schrieb der Hacker damals unter dem Pseudonym "Anna-senpai", stelle er hiermit eine "fantastische Publikation" zur freien Verwendung: den Quellcode Mirai, der ihm sein "weltgrößtes Botnetz" erst möglich gemacht habe.

"Mirai" wurde daraufhin von Unbekannten gegen die amerikanische IT-Firma Dyn eingesetzt, die eine kritische Säule der globalen Internetstruktur verwaltet. Der Angriff legte Millionen Computer lahm und störte den Internetverkehr von weiten Teilen in Nordamerika und Europa. Große Websites wie Netflix, Amazon, Spotify oder Paypal waren damals davon betroffen.

Eine Verurteilung der drei zu mehreren Jahren – die drei hatten ihr Botnetz auch für Klickbetrug eingesetzt – scheint wahrscheinlich, doch laut IT-Experten ist die Gefahr durch "Mirai" längst nicht gebannt. Denn laut eines Managers des Anbieters Cloudflare gebe es im Internet längst neue Versionen und Updates des Botnetzes, seit die jungen Hacker es als Open Source ins Netz gestellt haben. "Mirai ist noch am Leben", so der Manager.