Global Crackdown Dismantles Major DDoS Cybercriminal Network

Karsten Kunert mit ChatGPT

In einer koordinierten Operation von erheblicher technischer und operativer Reichweite haben Sicherheitsbehörden aus Nordamerika und Deutschland zwei der weltweit größten und gefährlichsten Botnetze erfolgreich außer Betrieb gesetzt. Wie das Bundeskriminalamt mitteilte, diente die zerschlagene Infrastruktur in erster Linie als Werkzeug für Distributed-Denial-of-Service-Angriffe — kurz DDoS. Bei dieser weitverbreiteten Angriffsmethode überfluten Cyberkriminelle die Server ihrer Opfer mit einem massiven Volumen an manipulierten Datenanfragen, bis Websites und digitale Dienste unter der Last zusammenbrechen. Wie akut diese Bedrohung für den deutschen Wirtschafts- und Infrastrukturraum ist, verdeutlicht ein prominentes Beispiel aus jüngster Vergangenheit: Sowohl die Online-Informationsangebote der Deutschen Bahn als auch die vielgenutzte DB-Navigator-App waren zuletzt Ziel einer solchen Attacke geworden.

Werkzeuge für Überlastungsangriffe

Im Zentrum der Ermittlungen standen zwei berüchtigte Botnetze: «Aisuru» und «Kimwolf». Das ältere der beiden Systeme, «Aisuru», spezialisierte sich auf die systematische Kompromittierung schlecht abgesicherter IoT-Geräte — also jener vernetzten Alltagsgeräte wie Router und IP-Überwachungskameras, die zwar dauerhaft mit dem Internet verbunden, aber selten mit aktuellen Sicherheitsupdates versorgt sind. Durch das massenhafte Kapern solcher Endpunkte baute «Aisuru» eine Angriffskapazität auf, die in der Geschichte der Cyberkriminalität ihresgleichen sucht: Dem Botnetz wird der bislang größte dokumentierte DDoS-Angriff zugeschrieben, bei dem ein Datendurchsatz von gewaltigen 31,4 Terabit pro Sekunde erzeugt wurde. Abgewehrt wurde dieser Angriff seinerzeit vom IT-Sicherheitsdienstleister Cloudflare — das eigentliche Ziel der Attacke wurde nie öffentlich bekannt.

Das zweite Botnetz, «Kimwolf», gilt in Fachkreisen als enger Verwandter von «Aisuru», verfolgte jedoch einen anderen Infektionsvektor. Anstatt auf klassische Netzwerkgeräte zu setzen, richtete sich «Kimwolf» bevorzugt gegen Android-basierte Consumer-Hardware — darunter insbesondere TV-Boxen, die häufig ohne Herstellersupport und mit veralteten Betriebssystemversionen betrieben werden und damit eine strukturell angreifbare Zielgruppe darstellen.

Internationale Zusammenarbeit der Fahnder

Die Operation war das Ergebnis grenzüberschreitender Zusammenarbeit zwischen Strafverfolgungsbehörden auf drei Kontinenten. Auf deutscher Seite waren die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) sowie das Bundeskriminalamt (BKA) federführend beteiligt. In enger Abstimmung mit Partnerbehörden aus Kanada und den USA gelang es, die geografisch verteilte technische Infrastruktur beider Botnetze koordiniert abzuschalten — ein Vorgehen, das die wachsende Bedeutung multinationaler Kooperationsstrukturen bei der Bekämpfung organisierter Cyberkriminalität unterstreicht.

Trotz des beachtlichen operativen Erfolgs ist das kriminelle Netzwerk nicht vollständig zerschlagen. Da es den Ermittlern nicht gelang, die Tatverdächtigen unmittelbar festzunehmen, bleiben zentrale Akteure vorerst auf freiem Fuß. Immerhin konnten zwei mutmaßliche Administratoren der Botnetze namentlich identifiziert werden. «Auf die Beschuldigten kommen nun rechtliche Konsequenzen zu», erklärte das Bundeskriminalamt. Im Zuge von Durchsuchungsmaßnahmen an Wohnadressen in Deutschland und Kanada stellten die Behörden umfangreiche Beweismittel sicher — darunter zahlreiche Datenträger sowie Kryptowährungsguthaben im fünfstelligen Bereich. (dpa/ad)