HOME

Skurriler Fund: Ein deutscher Hacker betrieb acht Jahre lang ein Botnet - als sein eigenes Anime-Netflix

Großangriffe auf Webseiten, Bitcoin-Minen oder Erpressungstrojaner verteilen: Botnets bieten viel kriminelles Potenzial. Ein gerade entdecktes Netzwerk eines deutschen Hackers sollte aber etwas ganz anderes tun - und Anime herunterladen.

Der Dienst Helix wurde im Darknet zur Geldwäsche eingesetzt (Symbolbild)

Der Dienst Helix wurde im Darknet zur Geldwäsche eingesetzt (Symbolbild)

Getty Images

Ein Botnetz aufzubauen, erfordert viel Arbeit. Die zahlreichen Rechner, Router oder andere Internetgeräte müssen übernommen und miteinander vernetzt werden, das Netzwerk erfordert Pflege. Kein Wunder, dass man die mächtigen Hackerwerkzeuge auch teuer mieten kann. Nun wurde ein mindestens acht Jahre lang gehegtes Netzwerk entdeckt, dass dem Betreiber kein Geld einbringen sollte. Stattdessen nutzte er es als eine Art Streaming-Produkt.

Zufallsfund

Auf das Botnetz waren die Sicherheits-Forscher von Forcepoint nur durch Zufall gestoßen, berichten sie in einem Blogpost. Sie hatten einen als unsicher bekannten NAS-Server, also eine Netzwerk-Festplatte, des Hersteller D-Link ins Netz gestellt, um eventuell einen Angriff abzufangen. Und tatsächlich tauchte im Laufe nur eines Tages ein bisher unbekannter Prozess auf dem Gerät auf. Im Laufe der Untersuchung stießen sie dann auf das Botnet.

Das besteht laut den ältesten Dateien seit 2012 und setzte sich ausschließlich aus gekaperten NAS-Servern und Netzwerk-Recordern zusammen. Der Hacker hatte es jahrelang gepflegt, sogar Sicherheitsvorkehrungen gegen weitere Angriffe eingebaut, so die Forscher. So konnte er lange von den Geräte-Besitzern unentdeckt ihre Rechenleistung nutzen.

Hacker Stefan will Anime-Filme

Obwohl die Experten das Netzwerk bereits 2013 entdeckten - und es sogar 2014 D-Link meldeten - lief es immer weiter. Doch in all der Zeit konnten sie keinerlei bösartiges Verhalten finden konnte. Obwohl das Netzwerk auch für Angriffe geeignet ist, nutzt der Betreiber es nach Erkenntnis der Forscher nur für einen einzigen Zweck: Das Netzwerk sucht und lädt Unmengen von Anime, also japanische Animationsfilme, herunter. 

Obwohl sich der Anime-Fan bemühte, seine Spuren zu verwischen, konnten die Experten einige Hinweise zu seiner Identität aufstöbern. So soll er ganz zu Beginn noch von einem deutschen Server gearbeitet haben, bevor er anfing, seinen Zugriff über das TOR-Netzwerk zu verschleiern. Bei der Registrierung sei eine T-Online-Mail benutzt worden. Und schließlich stolperten sie in einigen tief versteckten Dateien auch noch auf den Namen des Erstellers: Stefan.

Langsamer Niedergang

Mittlerweile ist das Netzwerk aber deutlich auf dem absteigenden Ast. Während es zum Höhepunkt 2015 fast 10.000 Geräte umfasste, ist diese Zahl mittlerweile deutlich gesunken. Forcepoint erklärt das einerseits mit dem Alter der Geräte: Die über die genutzte Lücke angreifbaren Modelle sind mittlerweile acht Jahre alt, viele von ihnen sind abgeschaltet oder durch neuere Geräte ersetzt worden. Einen noch schlimmeren Effekt hatte aber ein anderer Schädling: Ende 2018 begann der Erpressungstrojaner Cr1ptT0r, dieselben Ziele anzugreifen - und zu verschlüsseln. Danach waren sie für Stefan nicht mehr zu gebrauchen.

Quelle: Forcepoint

mma