Thought Leadership
Sicherheitsforscher schlagen Alarm wegen eines neuen Botnetzes, das in kurzer Zeit eine bislang kaum gekannte Dimension erreicht hat.
Unter dem Namen Kimwolf wurde ein Netzwerk aus schätzungsweise rund 1,8 Millionen kompromittierten Android Geräten entdeckt. Zeitweise sorgte die zugehörige Infrastruktur sogar dafür, dass ein einzelner Steuerungsserver in globalen Webstatistiken beliebter erschien als Google.
Die Entdeckung geht auf Analysen von Xlab zurück. Auffällig wurde Ende Oktober eine kryptische Domain, die sich als zentrales Kontrollsystem für ein massenhaftes Botnetz entpuppte. Dahinter verbarg sich ein Command and Control Server, der Millionen infizierter Geräte koordinierte.
Millionen infizierter Android Geräte
Nach Einschätzung der Forscher besteht Kimwolf überwiegend aus kompromittierten TV Boxen und anderen Android Geräten in privaten Haushalten. Besonders betroffen sind günstige Set Top Boxen und Tablets ohne Google Zertifizierung, die weder Play Protect noch regelmäßige Sicherheitsupdates erhalten.
Innerhalb weniger Tage registrierte Xlab mehrere Millionen unterschiedliche IP Adressen. An einem einzelnen Tag im Dezember waren mehr als 1,8 Millionen Geräte aktiv mit der Infrastruktur verbunden. Da sich private IP Adressen regelmäßig ändern, gilt diese Zahl als konservative Schätzung.
Die Schadsoftware ist vielseitig einsetzbar. Neben klassischen DDoS Angriffen verfügt Kimwolf über umfangreiche Proxy Funktionen. Angreifer können die infizierten Geräte nutzen, um ihre eigene Herkunft zu verschleiern, geografische Sperren zu umgehen oder illegale Aktivitäten über fremde Netze abzuwickeln.
Zusätzlich erlaubt eine integrierte Fernzugriffsfunktion die direkte Steuerung der kompromittierten Geräte. Dateien lassen sich hochladen, verändern oder nachladen, wodurch das Botnetz flexibel erweitert werden kann.
Verwandtschaft mit bekannten Großangriffen
Die Analyse zeigt deutliche Überschneidungen mit dem bisher größten bekannten Botnetz Aisuru. Teile des Quellcodes sind identisch, was auf denselben Urheberkreis hindeutet. Offenbar wurde Kimwolf als Weiterentwicklung konzipiert, nachdem Aisuru zunehmend von Sicherheitslösungen erkannt wurde.
Neu ist der Einsatz moderner Verschleierungstechniken. Kimwolf nutzt Verschlüsselung und greift auf blockchainbasierte Methoden zurück, um Steuerungsinformationen dynamisch abzurufen und zu verbergen. Dadurch wird eine Abschaltung erheblich erschwert.
Die infizierten Geräte sind weltweit verteilt und aktiv. Besonders viele Verbindungen stammen aus Brasilien, Indien und den USA, gefolgt von Ländern wie Argentinien, Südafrika und China. Aufgrund dieser globalen Streuung schläft das Botnetz praktisch nie.
Die Forscher gehen davon aus, dass Kimwolf Angriffe mit einer Bandbreite von bis zu 30 Terabit pro Sekunde ermöglichen könnte. Damit bewegt sich das Botnetz auf dem Niveau der größten jemals beobachteten DDoS Attacken.
Provokationen und gezielte Einschüchterung
Neben technischer Raffinesse fällt Kimwolf auch durch provokantes Verhalten auf. In DDoS Nutzlasten fanden sich Beleidigungen, politische Botschaften und gezielte Provokationen. Auffällig ist zudem eine wiederkehrende Fixierung auf den Sicherheitsjournalisten Brian Krebs, dessen Name in mehreren Codefragmenten und Domains auftauchte.
Während der Untersuchungen kam es sogar zu Gegenangriffen auf die Analysten selbst, offenbar als Einschüchterungsversuch.
Erste Gegenmaßnahmen zeigen Wirkung
Die zeitweise Übernahme eines Steuerungsservers durch Xlab löste eine Kettenreaktion aus. Internetanbieter und weitere Akteure schalteten Teile der Infrastruktur ab, was die Zahl aktiver Geräte kurzfristig stark reduzierte. Die Betreiber reagierten jedoch schnell mit neuen Servern und machten öffentlich deutlich, dass sie über umfangreiche Ressourcen verfügen.
Sicherheitsforscher sehen Hersteller in der Pflicht, Android TV Geräte entlang der gesamten Lieferkette besser abzusichern. Gleichzeitig wird Nutzern geraten, auf zertifizierte Geräte zu setzen, sichere Passwörter zu verwenden, Updates einzuspielen und Anwendungen nur aus vertrauenswürdigen Quellen zu installieren.
Kimwolf zeigt eindrucksvoll, welches Risiko von schlecht abgesicherten Alltagsgeräten ausgehen kann. Das Botnetz steht exemplarisch für eine neue Dimension industriell organisierter Cyberkriminalität.
