Konzertierter Schlag gegen die „Zitadelle“

Microsoft und das FBI haben den Versuch unternommen, hunderte Botnetze unschädlich zu machen, die auf einer SaaS-Version von ZeuS basieren, auch bekannt als Citadel. Nach Aussage der Experten handelt es sich hierbei um die „aggressivste“ von sieben Operationen gegen Botnetze, die von ihnen im Rahmen des umfassenden Projekts MARS (Microsoft Active Response for Security) durchgeführt wurde.

Citadel erschienvor etwa anderthalb Jahren als open-source-Projekt im Untergrund, und hat seither über 5 Millionen Computer in 90 Ländern infiziert. Der durch diesen Backdoor entstandene finanzielle Schaden wird auf 500 Millionen Dollar geschätzt. Im vergangenen Jahr nahmen die Initiatoren des Projekts Citadel aus dem freien Verkauf auf dem Schwarzmarkt, in der Hoffnungihr Machwerk vor der zunehmenden Aufmerksamkeit der Strafverfolgungsorgane zu schützen und die Kosten für den technischen Support gleichzeitig zu senken.

Ins Visier von Microsoft gerieten mehr als 1.460 Botnetze, die mit der Aktivität von Citadel in Zusammenhang gebracht werden. Die Ermittlungen, die bei Microsoft unter dem Codenamen „Operation b54“ durchgeführt wurden, erstreckten sich über ungefähr ein Jahr. Der Klage des Unternehmens stattgebend, genehmigte das Bezirksgericht von North Carolina das Abfangen und Austauschen der Steuerungsserver (sinkholing), die die Cyberkriminellen in zwei amerikanischen Datenzentren untergebracht hatten. An der Zusammenstellung der Materialien zur Anstrengung der Zivilklage waren neben Microsoft auch beteiligt: der Anti-Phishing-Experte Agari, der Hersteller von Application Delivery Controllern A10 Networks, der Anbieter von DNS- und DHCP-Produkten Nominum, sowie erstmals Vertreter aus dem Finanzsektor – das Informationszentrum FS-ISAC, die Electronic Payments Association NACHA und die American Bankers Association (АВА).

Das Finale der „Operation b54“ fiel auf Ende Mai. „Berücksichtigt man die Unmenge von Botnetzen und die Komplexität von Citadel, so darf man nicht erwarten, dass diese Aktion vollständig alle Zombie-Netzwerke sprengt, die auf diesem Schädling basieren.“, erklärt Richard Boscovich im Blog – Assistent des Oberjustitiars der Abteilung Cyberverbrechen (DCU) von Microsoft. „Allerdings hoffen wir, dass wir durch die Aktion die Leistungsstärke von Citadel entscheidend schwächen, und gleichzeitig die Risiken und Ausgaben der Cyberkriminellen erhöhen können, die mit der Aktivität dieses Trojaners zusammenhängen“.

Große Hilfe beim Sammeln von Beweisen gegen die Botmaster von Citadel hat das kalifornische Unternehmen Agari geleistet. Ein halbes Jahr lang haben die Ermittler gefälschte Nachrichten analysiert, die im Namen führender Banken verfasst worden waren, um den Schädling auf diese Weise zu verbreiten. „Mit Hilfe unseres Systems können wir schädliche Mitteilung isolieren und den Gesetzeshütern, Kunden und Kollegen entsprechende Berichte zukommen lassen, damit diese die Bad Guys aufspüren.“, erklärt der Geschäftsführer von Agari, Patrick Peterson. „In diesem Fall konnten wir in Zusammenarbeit mit unseren Partnern – dem FBI, Microsoft, FS-ISAC – die Mitteilungen aussondern, die direkt mit der Aktivität von Citadel in Verbindung stehen.“

Microsoft kämpft bereits seit mehreren Jahren in Folge gegen die Cyberkriminalität, und einer der wichtigsten Teilnehmer dieser Aktion ist die Abteilung DCU. Die Spezialgruppe, die sich aus Ingenieuren und Technikern, Sicherheitsexperten und Juristen zusammensetzt, konnte schon einige Siege im Kampf gegen Botnetze für sich verbuchen, unter anderem ging es dabei um Kelihos, ZeuS, Waledac und Rustock. Im Gesprächmit dem Redakteur der Threatpost, Dennis Fisher, unterstrich der Sicherheitschef des DCU, T.J. Campana, dass seine Gruppe bemüht ist, Operationen im Kampf gegen Botnetze so transparent wie möglich durchzuführen. „Wir sind keine Strauchdiebe. Wir stellen stapelweise juristische Dokumente zusammen. Wir suchen einen Richter, der die Rechtmäßigkeit unserer Ermittlungsergebnisse bestätigt.“, beschreibt Campana die Tätigkeit des DCU.

Um die Desinfektion der infizierten Computer zu beschleunigen, werden die Daten von den abgefangenen Servern an interessierte Internet-Provider und das CERT weitergegeben. Diese Informationen hinterlegt Microsoft außerdem bei dem neuen Cloud-Service, der vor kurzem im Rahmen des C-TIP (Cyber Threat Intelligence Program) eröffnet wurde – ein Frühwarnprogramm für Internetbedrohungen. Das FBI nimmt ebenfalls an diesem Prozess teil, indem es neue Daten an die Kollegen im Ausland weitergibt.

Unzufrieden waren allein die Sicherheitsexperten: Microsoft hatte sie nicht über die geplante Aktion informiert und ihre Fallen deaktiviert. Das Schweizer Projekt Abuse.ch hat beispielsweise über 300 sinkhole-Domains verloren. Nach Einschätzung der Aktivisten wurde rund ein Viertel der 4.000 Domains, die jetzt zuverlässig an den „Strohserver“ von MS gebunden sind, ursprünglich zu Ermittlungszwecken erstellt.

Quelle: Microsoft

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.