News

Konzertierter Schlag gegen die „Zitadelle“

Microsoft und das FBI haben den Versuch unternommen, hunderte Botnetze unschädlich zu machen, die auf einer SaaS-Version von ZeuS basieren, auch bekannt als Citadel. Nach Aussage der Experten handelt es sich hierbei um die „aggressivste“ von sieben Operationen gegen Botnetze, die von ihnen im Rahmen des umfassenden Projekts MARS (Microsoft Active Response for Security) durchgeführt wurde.

Citadel erschienvor etwa anderthalb Jahren als open-source-Projekt im Untergrund, und hat seither über 5 Millionen Computer in 90 Ländern infiziert. Der durch diesen Backdoor entstandene finanzielle Schaden wird auf 500 Millionen Dollar geschätzt. Im vergangenen Jahr nahmen die Initiatoren des Projekts Citadel aus dem freien Verkauf auf dem Schwarzmarkt, in der Hoffnungihr Machwerk vor der zunehmenden Aufmerksamkeit der Strafverfolgungsorgane zu schützen und die Kosten für den technischen Support gleichzeitig zu senken.

Ins Visier von Microsoft gerieten mehr als 1.460 Botnetze, die mit der Aktivität von Citadel in Zusammenhang gebracht werden. Die Ermittlungen, die bei Microsoft unter dem Codenamen „Operation b54“ durchgeführt wurden, erstreckten sich über ungefähr ein Jahr. Der Klage des Unternehmens stattgebend, genehmigte das Bezirksgericht von North Carolina das Abfangen und Austauschen der Steuerungsserver (sinkholing), die die Cyberkriminellen in zwei amerikanischen Datenzentren untergebracht hatten. An der Zusammenstellung der Materialien zur Anstrengung der Zivilklage waren neben Microsoft auch beteiligt: der Anti-Phishing-Experte Agari, der Hersteller von Application Delivery Controllern A10 Networks, der Anbieter von DNS- und DHCP-Produkten Nominum, sowie erstmals Vertreter aus dem Finanzsektor – das Informationszentrum FS-ISAC, die Electronic Payments Association NACHA und die American Bankers Association (АВА).

Das Finale der „Operation b54“ fiel auf Ende Mai. „Berücksichtigt man die Unmenge von Botnetzen und die Komplexität von Citadel, so darf man nicht erwarten, dass diese Aktion vollständig alle Zombie-Netzwerke sprengt, die auf diesem Schädling basieren.“, erklärt Richard Boscovich im Blog – Assistent des Oberjustitiars der Abteilung Cyberverbrechen (DCU) von Microsoft. „Allerdings hoffen wir, dass wir durch die Aktion die Leistungsstärke von Citadel entscheidend schwächen, und gleichzeitig die Risiken und Ausgaben der Cyberkriminellen erhöhen können, die mit der Aktivität dieses Trojaners zusammenhängen“.

Große Hilfe beim Sammeln von Beweisen gegen die Botmaster von Citadel hat das kalifornische Unternehmen Agari geleistet. Ein halbes Jahr lang haben die Ermittler gefälschte Nachrichten analysiert, die im Namen führender Banken verfasst worden waren, um den Schädling auf diese Weise zu verbreiten. „Mit Hilfe unseres Systems können wir schädliche Mitteilung isolieren und den Gesetzeshütern, Kunden und Kollegen entsprechende Berichte zukommen lassen, damit diese die Bad Guys aufspüren.“, erklärt der Geschäftsführer von Agari, Patrick Peterson. „In diesem Fall konnten wir in Zusammenarbeit mit unseren Partnern – dem FBI, Microsoft, FS-ISAC – die Mitteilungen aussondern, die direkt mit der Aktivität von Citadel in Verbindung stehen.“

Microsoft kämpft bereits seit mehreren Jahren in Folge gegen die Cyberkriminalität, und einer der wichtigsten Teilnehmer dieser Aktion ist die Abteilung DCU. Die Spezialgruppe, die sich aus Ingenieuren und Technikern, Sicherheitsexperten und Juristen zusammensetzt, konnte schon einige Siege im Kampf gegen Botnetze für sich verbuchen, unter anderem ging es dabei um Kelihos, ZeuS, Waledac und Rustock. Im Gesprächmit dem Redakteur der Threatpost, Dennis Fisher, unterstrich der Sicherheitschef des DCU, T.J. Campana, dass seine Gruppe bemüht ist, Operationen im Kampf gegen Botnetze so transparent wie möglich durchzuführen. „Wir sind keine Strauchdiebe. Wir stellen stapelweise juristische Dokumente zusammen. Wir suchen einen Richter, der die Rechtmäßigkeit unserer Ermittlungsergebnisse bestätigt.“, beschreibt Campana die Tätigkeit des DCU.

Um die Desinfektion der infizierten Computer zu beschleunigen, werden die Daten von den abgefangenen Servern an interessierte Internet-Provider und das CERT weitergegeben. Diese Informationen hinterlegt Microsoft außerdem bei dem neuen Cloud-Service, der vor kurzem im Rahmen des C-TIP (Cyber Threat Intelligence Program) eröffnet wurde – ein Frühwarnprogramm für Internetbedrohungen. Das FBI nimmt ebenfalls an diesem Prozess teil, indem es neue Daten an die Kollegen im Ausland weitergibt.

Unzufrieden waren allein die Sicherheitsexperten: Microsoft hatte sie nicht über die geplante Aktion informiert und ihre Fallen deaktiviert. Das Schweizer Projekt Abuse.ch hat beispielsweise über 300 sinkhole-Domains verloren. Nach Einschätzung der Aktivisten wurde rund ein Viertel der 4.000 Domains, die jetzt zuverlässig an den „Strohserver“ von MS gebunden sind, ursprünglich zu Ermittlungszwecken erstellt.

Quelle: Microsoft

Konzertierter Schlag gegen die „Zitadelle“

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach