IT-Hardware: Server/Router | Bildquelle: pixabay.com

Weltweit:

Weltweiter Schlag gegen Botnetz-Infrastruktur "Avalanche" - FBI, BSI & Europol gegen Cyberkriminalität : Server abgeschalten, 800.000 Internet-Adressen gesperrt

Stand: 20.12.16 12:07 Uhr

04.12.2016. Deutschen Behörden ist ein gewaltiger Schlag gegen die internationale Cyber-Kriminalität geglückt. Dabei wurde ein Mega-Netzwerk von rund 20 Bot-Netzen zerschlagen. Dabei wurde nicht nur die Steuerungs-Server-Infrastruktur für hunderttausende weltweit mittel Schadsoftware gekaperte PCs und Smartphones zerschlagen. Nach einer Analyse der Schadsoftware wurden auch weltweit 40.000 Internet-Adressen selbst registriert und weitere 760.000 Adressen gesperrt, über die sich die infizierten Computer in den nächsten Jahren automatisch zu neuen Bot-Netzen vernetzt hätten. Über vier Jahre lang hatte die Staatsanwaltschaft Verden zusammen mit der Polizeidirektion Lüneburg, dem Bundesamt für Sicherheit und Informationstechnologie (BSI) , dem FBI und Europol an der Vorbereitung des Coups gearbeitet. Dabei wurden Rechtshilfeersuchen an mehr als 100 Ländern gestellt. Jetzt melden sich die infizierten Computer brav beim Nationalen Cyber-Abwehrzentrum Deutschlands. Und das verständigt über die Internet-Provider die jeweils betroffenen Firmen und Privatpersonen. In den ersten Stunden sind bereits mehr als 100.000 IP-Adressen auf den so genannten Sinkhole-Servern der Behörden aufgelaufen.

Cyber-Kriminelle zogen sich bisher mit einem Trick aus der Schlinge

Bislang hatten sich die Cyber-Kriminellen mit einem Trick gegen die Zerschlagung ihrer Bot-Netze gewappnet: Wird ein Computer mit Schad-Software infiziert, beispielsweise durch das Öffnen von infizioerten E-Mails oder von infizierten Internet-Seiten, so verbindet sich der Computer automatisch mit einem Server der Cyber-Kriminellen ohne dass der Benutzer dies merkt. Die Cyber-Kriminellen verkaufen dann die Rechenleistungen auf den versklavten Computern an andere kriminelle Organisationen. Bilslang waren Ermittlungsbehörden nur gegen die Server-Infrastruktur vorgegangen, hatten die Führungs-Server abgeschaltet, über welche die versklavten Computer gesteuert worden waren.

Die Cyber-Kriminellen hatten aber in den Befehlen der Schadsoftware für solche Fälle vorgesorgt: In die Schadsoftware der versklavten Computer war eine lange Liste mit Ersatz-Internetadressen einprogrammiert. War der bisherige Server unter der bisherigen Internet-Adresse nicht mehr erreichbar, weil ihn die Behörden deaktiviert hatten, so versuchten die versklavten Computer, Kontakt mit der nächsten Internet-Adresse in ihrer Liste aufzunehmen.Die Cyber-Kriminellen hatten unter der neuen Internet-Adresse dann bereits einen neuen Server bereitgestellt: Die führerlos gewordenen Sklaven-Computer verbanden sich darüber dann automatisiert wieder zu einem neuen Bot-Netz.

Nationales Cyber-Abwehrzentrum schnappt Cyber-Kriminellen 800.000 Ersatz-Domains weg

Dem hat das Nationale Cyber-Abwehrzentrum, in dem das BSI seine entsprechenden Aktivitäten bündelt, dieses Mal einen Riegel vorgeschlagen: Die Schadsoftware wurde analysiert. Dabei wurden, so der Behördenchef in einem Interview mit Weltn24 rund 800.000 Internet-Adressen identifiziert, mit denen sich die Sklaven-Computer in den kommenden Jahren verbinden sollten, wenn sie die Verbindung zu ihren bisherigen Führungs-Servern verlieren würden. Das BSI hat davon dann für einen erheblichen Geldbetrag rund 40.000 Internet-Adressen selbst registriert und weitere 760.000 Internet-Adressen bei den Providern sperren lassen. Das Nationale Cyber-Abwehrzentrum hatte im Vorfeld die 40.000 selbst registrierten Internet-Adressen mit eigenen Servern, sogenannten Sinkhole-Servern, verknüpft.

Sklaven-PCs melden sich jetzt brav beim Nationalen Cyber-Abwehrzentrum

Nach der Zerschlagung der kriminellen Avalanche-Server-Infrastruktur melden sich die führerlos gewordenen Sklaven-PC´s nun automatisch bei der nächsten Internet-Adresse ihrer Liste. Die aber gehört dem BSI: Die IP-Adressen der PCs werden vom Nationalen Cyber-Abwehrzentrum registriert. Über den jeweils zuständigen Internet-Provider werden die betroffenen Firmen und Privatpersonen benachrichtigt, dass ihr PC oder Gerät mit Schadsoftware infiziert ist. In den ersten Stunden nach Abschalten des kriminellen Avalanche-Netzwerkes  hatten sich. so das BSI, bereits über 100.000 infizierte Sklaven-PC´s bei den Sinkhole-Servern der Behörde gemeldet.

Bereits im laufenden Ermittlungsverfahren wurde dem BSI zufolge zur Warnung der Nutzer das Providerinformationssystem (PI) aufgebaut. Hierbei werden durch das BSI Mitteilungen über infizierte Systeme an die Provider übermittelt. Seit 2014 wurden so bereits mehr als 4,5 Millionen Meldungen an die deutschen Provider und über diese an die Kunden gesendet.

Nach Angaben der Staatsanwaltschaft Verden konnten in der international koordinierten Aktion mehrere mutmaßliche Führungsmitglieder der kriminellen Vereinigung verhaftet werden: "Durch die gleichzeitig erfolgte Beschlagnahme von 39 Servern und mehreren hunderttausend Domains wurde den Tatverdächtigen allein in Deutschland die Kontrolle über mehr als 50.000 Opfer-Computer entzogen."

Nach über vier Jahren intensiver Ermittlungsarbeit der Cybercrime-Spezialisten der Zentralen Kriminalinspektion Lüneburg und der Staatsanwaltschaft Verden und in Zusammenarbeit mit dem amerikanischen FBI, dem United States Attorney's Office for the Western District of Pennsylvania, dem Department of Justice sowie den Sicherheitsbehörden von 39 europäischen und außereuropäischen Staaten sei es möglich geworden, die wohl weltweit größte Infrastruktur zum Betrieb von Botnetzen aufzudecken und zu analysieren: "Bis zum gegenwärtigen Zeitpunkt konnten allein auf der Führungsebene 16 Beschuldigte identifiziert werden. Gegen 7 Tatverdächtige hat das Amtsgericht Verden Haftbefehle wegen Bildung einer kriminellen Vereinigung, banden- und gewerbsmäßigen Computerbetruges und anderer Straftaten erlassen."

Weiter heißt es in der Presse-Info der Staatsanwaltschaft: "Mit der strukturierten Zusammenlegung von mehreren Botnetzen war es den Tätern gelungen, Bankkunden, die ihre Geschäfte online erledigten, um durchschnittlich mehr als 5.000 EUR zu schädigen. Mindestens seit 2009 nutzten die Täter die weltweit vernetzte Botnetz-Infrastruktur „AVALANCHE" für Phishing- und Spamkampagnen. Pro Woche wurden mehr als eine Million Spammails mit schädigendem Anhang oder Link versandt. Durch Öffnen des Anhangs oder Anklicken des Links wurde das nunmehr infizierte Computer-System Teil des Botnetzes. Auf diese Weise wurden durch die Täter zeitgleich mehr als 50.000 Opfer-PCs kontrolliert und ausspioniert. Aufgrund der hier vorliegenden Anzeigen kann die Schadenssumme derzeit auf ca. 6 Mio EUR aus 1.336 Taten beziffert werden. Der tatsächliche Schaden dürfte auch in Deutschland weitaus höher liegen, während die genannten Zahlen sowieso nur die Angriffe gegen Opfer in Deutschland wiedergeben."

Begonnen hatten die Ermittlungen, so die Staatsanwaltschaft,  allerdings vor vier Jahren, als massenhaft sog. Ransomware verbreitet wurde, mit der private und geschäftliche Nutzer von PCs und PC-Netzwerken erpresst wurden, Geld zu zahlen. ZWar kamen die Ermittler mit der Unterstützung des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) in Bonn hinter die enormen Dimensionen der Botnetzinfrastuktur „AVALANCHE". Allerdings wechselten die Tatverdächtigen währenddessen nicht nur die Geschäftsfelder, sondern auch die Server und die Länder von denen aus sie agierten:

Derzeit liege der Schwerpunkt darin, Online-Banking-Kunden zu schädigen. "Die Tücke einer ausgefeilten Botnetz-Infrastruktur liegt darin, dass allein das Abschalten eines einzelnen Botnetzes nicht ausreicht, um die kriminellen Angriffe zu unterbinden", teilte der Leiter der Zentralstelle für Cybercrime der Staatsanwaltschaft Verden, Oberstaatsanwalt Frank Lange mit. "Die Aufgaben der entdeckten und unschädlich gemachten Server werden schlagartig von den Servern der anderen Botnetze übernommen, bis ein neues weiteres Botnetz aufgebaut wird".

Durch die Analyse der Strukturen von AVALANCHE und die Identifizierung der einzelnen Server auf Führungsebene, so die Staatsanwaltschaft,  wurde der Grundstein für die gestrige Zerschlagung der Infrastruktur gelegt. Unterstützt durch die europäischen Behörden EUROJUST und EUROPOL erfolgten zeitgleich in 10 Ländern der Welt Durchsuchungen, Beschlagnahmen von Servern und Domains sowie Festnahmen aufgrund bestehender Haftbefehle. Die identifizierten Tatverdächtigen kommen aus 10 verschiedenen Ländern. In einzelnen Fällen wird es nicht möglich sein, die Beschuldigten in Deutschland vor Gericht zu stellen, weil entsprechende Auslieferungsabkommen fehlen.

BSI stellt technische Grundlage bereit

Das BSI als die nationale Cyber-Sicherheitsbehörde hat dabei die technische Grundlage zur Identifizierung der Botnetz-Infrastruktur sowie zur Analyse der von den Cyber-Kriminellen verwendeten Schadsoftware bereitgestellt. Dadurch wurde die Abschaltung der missbrauchten Server und so die Zerschlagung des gesamten kriminellen Netzwerks ermöglicht. Gleichzeitig ermöglicht das BSI die Information der weltweit betroffenen Nutzer, deren Computer und Smartphones von den Tätern mit Schadsoftware infiziert und damit zum Teil der Botnetze gemacht wurden. Die Analysen haben unter anderem ergeben, dass rund 20 verschiedene Botnetze die Avalanche-Infrastruktur nutzen, zum Beispiel um Spam- und Phishing-E-Mails zu versenden, Ransomware zu verbreiten und die Nutzer von Online-Banking-Angeboten zu betrügen.

Die Zentrale Kriminalinspektion der Polizeidirektion Lüneburg (ZKI) sowie die Staatsanwaltschaft Verden/Aller hatten ein Amtshilfeersuchen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gerichtet. Daraufhin unterstützte das BSI die Kollegen bei der Analyse und Zerschlagung der Botnetz-Infrastruktur Avalanche. Seitens des BSI hat das Nationale Cyber-Abwehrzentrum die koordinierende Funktion übernommen.

Hierzu erklärt BSI-Präsident Arne Schönbohm: "Botnetze sind eine der großen Bedrohungen für die Digitalisierung. Die erfolgreiche Aktion zeigt, dass der Staat handlungsfähig und das Internet kein rechtsfreier Raum ist. Es ist uns gemeinsam gelungen, eine internationale kriminelle Infrastruktur zu zerschlagen und die Bürgerinnen und Bürger vor vielen aktuellen Gefahren im Internet zu schützen."

Information der Betroffenen

Im Rahmen der Zerschlagung setzt das BSI zusammen mit Shadowserver, einer Non-Profit-Organisation von IT-Sicherheitsspezialisten, Sinkhole-Server ein, die die von den Kriminellen genutzten und im Rahmen der Strafverfolgungsaktion abgeschalteten Steuerungsserver der Botnetze ersetzen. Mit Hilfe dieser Sinkhole-Server können betroffene Internetnutzer gewarnt werden. In den ersten Stunden der Aktion sind bereits rund 100.000 unterschiedliche IP-Adressen in den Sinkhole-Servern aufgelaufen. Anhand der IP-Adressbereiche, die verschiedenen Internet-Serviceprovidern zugeordnet sind, gibt das BSI die einzelnen IP-Adressen gezielt an diese Provider weiter. Nur die Provider können die IP-Adressen einem Netzwerkanschluss zuordnen und so ihre Kunden informieren.

BSI gibt Handlungsempfehlungen

Die Zerschlagung der Botnetz-Infrastruktur führt nicht zu einer automatischen Bereinigung der infizierten Nutzersysteme. Damit die Internetnutzer ihre Computer und Smartphones von der Infektion mit Schadsoftware bereinigen können, gibt das BSI unter www.bsi-fuer-buerger.de/botnetzumfangreiche Hilfestellung. BSI ermöglicht Zerschlagung der Botnetz-Infrastruktur Avalanche

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt nach einem Amtshilfeersuchen die Zentrale Kriminalinspektion der Polizeidirektion Lüneburg (ZKI) sowie die Staatsanwaltschaft Verden/Aller bei der Analyse und Zerschlagung der Botnetz-Infrastruktur Avalanche. Seitens des BSI hat das Nationale Cyber-Abwehrzentrum die koordinierende Funktion übernommen.

Das BSI als die nationale Cyber-Sicherheitsbehörde hat die technische Grundlage zur Identifizierung der Botnetz-Infrastruktur sowie zur Analyse der von den Cyber-Kriminellen verwendeten Schadsoftware bereitgestellt. Dadurch wurde die Abschaltung der missbrauchten Server und so die Zerschlagung des gesamten kriminellen Netzwerks ermöglicht. Gleichzeitig ermöglicht das BSI die Information der weltweit betroffenen Nutzer, deren Computer und Smartphones von den Tätern mit Schadsoftware infiziert und damit zum Teil der Botnetze gemacht wurden. Die Analysen haben unter anderem ergeben, dass rund 20 verschiedene Botnetze die Avalanche-Infrastruktur nutzen, zum Beispiel um Spam- und Phishing-E-Mails zu versenden, Ransomware zu verbreiten und die Nutzer von Online-Banking-Angeboten zu betrügen.

Hierzu erklärt BSI-Präsident Arne Schönbohm: "Botnetze sind eine der großen Bedrohungen für die Digitalisierung. Die erfolgreiche Aktion zeigt, dass der Staat handlungsfähig und das Internet kein rechtsfreier Raum ist. Es ist uns gemeinsam gelungen, eine internationale kriminelle Infrastruktur zu zerschlagen und die Bürgerinnen und Bürger vor vielen aktuellen Gefahren im Internet zu schützen."

Information der Betroffenen

Im Rahmen der Zerschlagung setzt das BSI zusammen mit Shadowserver, einer Non-Profit-Organisation von IT-Sicherheitsspezialisten, Sinkhole-Server ein, die die von den Kriminellen genutzten und im Rahmen der Strafverfolgungsaktion abgeschalteten Steuerungsserver der Botnetze ersetzen. Mit Hilfe dieser Sinkhole-Server können betroffene Internetnutzer gewarnt werden. In den ersten Stunden der Aktion sind bereits rund 100.000 unterschiedliche IP-Adressen in den Sinkhole-Servern aufgelaufen. Anhand der IP-Adressbereiche, die verschiedenen Internetserviceprovidern zugeordnet sind, gibt das BSI die einzelnen IP-Adressen gezielt an diese Provider weiter. Nur die Provider können die IP-Adressen einem Netzwerkanschluss zuordnen und so ihre Kunden informieren.

Hilfestellung für Betroffene: BSI gibt Handlungsempfehlungen

Die Zerschlagung der Botnetz-Infrastruktur führt nicht zu einer automatischen Bereinigung der infizierten Nutzersysteme. Damit die Internetnutzer ihre Computer und Smartphones von der Infektion mit Schadsoftware bereinigen können, gibt das BSI umfangreiche Hilfestellung. unter www.bsi-fuer-buerger.de/botnetz  (BSI / Staatsanwaltschaft Verden / KM)

WERBUNG:



Seitenanzeige: