Gemeinsame Operation von FBI und Europol gegen Gameover

Europäische und US-amerikanische Strafverfolgungsbehörden, unter anderem Europol und das FBI, haben einen konzertierten Schlag gegen Gameover gelandet, indem sie die Server übernommen und damit die Funktion des Botnetzes zerstört haben. Angaben zufolge wurde dieses Botnetz auch zur Verbreitung der Verschlüsselungs- und Erpressersoftware CryptoLocker verwendet. In zwei Staaten wurde Anklage gegen einen 30jährigen russischen Staatsbürger erhoben, den mutmaßlichen Betreiber des Botnetzes und Autor von Gameover/ZeuS.

Bekanntermaßen handelt es sich bei Gameover um eine ð2ð-Modifikation des Banken-Trojaners ZeuS. Das auf seiner Grundlage basierende Botnetz hat sich als harte Nuss für die Forscher und Gesetzeshüter erwiesen. Botnetze mit Peer-to-Peer-Infrastruktur sind äußerst hartnäckig und nur schwer zu zerschlagen, da sie keine isolierten Steuerungszentren haben. In den letzten Jahren haben sich viele Schädlingsbetreiber und Botmaster diese Organisationsform angeeignet.

Die Hauptbestimmung von Gameover liegt, ebenso wie bei ZeuS, im Diebstahl von Finanzinformationen und im Leeren von fremden Bankkonten. Dieser Banken-Trojaner wird häufig via Spam von Partner-Botnetzen verbreitet, normalerweise von Pushdo/Cutwail. Nach Einschätzungen der Forscher gehören zum gegenwärtigen Zeitpunkt zwischen 500.000 und 1 Million infizierte Rechner dem Botnetz auf Grundlage von Gameover an, wobei ein Viertel dieser Computer sich auf dem Gebiet der USA befindet. Die Verluste, die aus der Aktivität von Gameover resultieren, schätzt das FBI auf 100 Millionen Dollar.

Mit CryptoLocker sind laut einer Erklärung des US-Justizministeriums zum gegenwärtigen Zeitpunkt über 234.000 Computer infiziert, von denen die Hälfte in Amerika steht. Berichten zufolge überließen die Opfer dieses Blockers den Erpressern in den ersten zwei Monaten seiner Aktivität mehr als 27 Millionen Dollar.

In einer gemeinschaftlichen Operation gegen Gameover und CryptoLocker nahmen neben dem FBI, Europol und dem EC3 (Europäisches Zentrum zur Bekämpfung der Cyberkriminalität) auch Strafverfolgungsbehörden aus mehr als 10 Ländern teil, unter anderem aus Kanada, Australien, Neuseeland, Japan und der Ukraine. Fachliche Unterstützung erhielten die Teilnehmer von Shadowserver, Abuse.ch, CrowdStrike, Microsoft, F-Secure, Level 3 Communications, McAfee, Neustar, Symantec und anderen Organisationen, sowie von Wissenschaftlern an Universitäten. Mit Genehmigung des Gerichts wurde eine Reihe von Servern in Besitz genommen, die mit Gameover und CryptoLocker in Verbindung gebracht werden, und sie wurden unbemerkt ausgetauscht (Sinkholing), um so die infizierten Knoten ausfindig zu machen. Die entsprechenden Informationen wurden dann umgehend an das US-CERT (amerikanische Gruppe des Computer Emergency Response Teams) weitergeleitet, um sie dann wiederum an die CERTs der Länder weiterzuleiten, die ein Interesse daran haben, Infizierte zu benachrichtigen und ihnen bei der Desinfektion zu helfen.

‚Diese weitreichende und überaus erfolgreiche Operation war eine hervorragende Möglichkeit, die Bereitschaft der EU-Mitgliedsstaaten zu operativen, entschlossenen und aufeinander abgestimmten Aktionen gegen organisierte Verbrechergruppen zu testen, die Informationen und Finanzmittel auf dem Gebiet der EU und auf der ganzen Welt stehlen‘, erklärte der Leiter des ÅÑ3, Troels Oerting.

Das US-CERT und die britische Strafverfolgungsbehörde NCA haben Warnungmeldungen zu Gameover veröffentlicht, die eine kurze Charakteristik der Bedrohung sowie Tipps zum Schutz vor dem Schädling enthalten.

Das FBI fahndet nach Evgeniy Mikhailovich Bogachev, dem mutmaßlichen Botmaster und Autor von ZeuS, sowie der Jabber- und ð2ð-Modifikation dieses Schädlings. Nach Angaben des FBI benutzt Bogachev im Netz die Pseudonyme Slavik, Pollingsoon und Lucky12345. Die amerikanischen Behörden beschuldigen Bogachev der Verschwörung, des Betrugs unter Nutzung von Telefonverbindungen, des Hackens von Computern, des Bankenbetrugs und des Geldwaschens. Ihm wird zudem vorgeworfen, technischen Support bei Betrugsschemata in Verbindung mit CryptoLocker geleistet zu haben.

Leider ist die Sinkholing-Methode kein effektives Mittel zur Zerschlagung eines Botnetzes, und im Fall von ð2ð-Netzen erst recht nicht. Die Praxis zeigt, dass Botmaster recht schnell Ersatz für die verlorenen Server finden und ein Update durchführen. In seiner Warnung ruft die britische NCA die Anwender auf, eine Gameover-Desinfektion im Laufe von zwei Wochen durchzuführen. Der Vize-Präsident für Security Research bei Trend Micro, Rik Ferguson, vermutet, dass die Briten diese Chance nicht rechtzeitig nutzen können: Die Botmaster reagieren sehr viel schneller. ‚Das letztliche Ziel der Aktionen der Strafverfolgungsbehörden ist es, den Austausch zwischen infizierten Computern zu verhindern, wodurch die kriminelle Infrastruktur deutlich geschwächt werden sollte‘, erklärt der Fachmann. ‚Obgleich ein solcher Schlag effektiv ist, so ist die Effizienz nur von kurzer Dauer. Unsere Erfahrung zeigt, dass bösartige Netze in der Lage sind, sich innerhalb weniger Wochen oder sogar Tage vollständig wiederherzustellen.‘

Dieses war nicht die erste gemeinsame Aktion von Wissenschaftlern und Strafverfolgungsbehörden gegen ZeuS. Vor zwei Jahren blockierte Microsoft mehrere C&C-Server von ZeuS, was allerdings nur eine zeitlich begrenzte Destabilisierung der entsprechenden Botnetze zur Folge hatte. Die Forscher gaben gar nicht erst das Ziel aus, auch nur einen Teil des ZeuS-Imperiums effektiv außer Kraft zu setzen, da seine Ausmaße viel zu gewaltig sind.

Quelle: Threatpost, US-Justizministerium

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.