Microsoft ist zusammen mit einigen weiteren Unternehmen, darunter Symantec und Eset, ein Schlag gegen das Trickbot-Botnetz gelungen. Gemäss Microsoft sind beim Softwareriesen im Laufe des Frühjahrs Befürchtungen aufgekommen, dass Cyberkriminelle oder staatlich unterstützte Hacker dieses Botnetz benützen könnten, um während den Präsidentschaftswahlen in den USA IT-Systeme lahmzulegen. "Das wäre, wie wenn jemand Benzin ins Feuer der schon jetzt unglaublichen Diskussionen um die Gültigkeit der Wahlen giessen würde", sagte dazu der Microsoft-Mann Tom Burt, der das Anti-Trickbot-Team leitet. Im Laufe der letzten Monate habe man sich überlegt, wie man dies verhindern könnte, und nun zugeschlagen.

Parallel und anscheinend ohne sich mit Microsoft abzusprechen ist auch das United States Cyber Command gegen Trickbot vorgegangen, wie die 'New York Times' berichtet. Die US-Cyber-Soldaten haben laut diesem Bericht am 22. September und am 1. Oktober direkt einige Command & Control Server des Botnetzes infiltriert und lahmgelegt. Dadurch hätten die Hintermänner jeweils die Kontrolle über einige Tausend infizierte PCs verloren. Allerdings haben sie diese Kontrolle jeweils innert weniger Stunden wiedererlangt.

Es ist unklar, ob die Aktionen des Cyberkommandos wenig erfolgreich waren, oder ob dies vielleicht nur "Fingerübungen" für einen viel grösseren Angriff auf das Command- & Control-Netzwerk von Trickbot waren.

Der Schlag des Teams rund um Microsoft scheint aber deutlich umfassender gewesen zu sein und könnte das Botnetz über eine längere Zeitspanne hinweg lahmlegen. Gemäss Microsoft war es Kern des Plans, nicht nur mit technischen Massnahmen, sondern auch mit den geeigneten rechtlichen Waffen in der Hand das Botnetz ausser Gefecht zu setzen.

Das Trickbot-Botnetz besteht aus einigen hunderttausend, vielleicht sogar Millionen von infizierten PCs. Trickbot wurde 2016 erstmals beschrieben. Ursprünglich war die Malware dafür konzipiert, als Banking-Trojaner Zugangsdaten zu stehlen. Mittlerweile kann sie aber auch selbst weitere Malware, beispielsweise Ransomware, auf die betroffenen PCs schleusen. Dies machen nicht unbedingt die Betreiber des Botnetzes selbst. Sie legen auch Listen von infizierten Systemen und deren Inhabern an und verkaufen Zugänge an Cyberkriminelle oder staatliche Akteure.

Die Hintermänner sprechen laut Microsoft russisch und sind wahrscheinlich irgendwo in Osteuropa stationiert. Ob das stimmt und ob sie eine Verbindung zur russischen Regierung haben, ist aber nicht erwiesen.

Was die Trickbot-Malware auf einem infizierten System tut, wird via die bereits erwähnten Command & Control Server gesteuert. Laut Microsoft ist es seinem Team im Laufe der letzten Monate gelungen, viele Details darüber herauszufinden, wie diese Server mit der Malware kommunizieren. Unter anderem habe man dabei auch die genauen IP-Adressen der Server herausgefunden.

Aufgrund dieser Beweise habe dann ein US-Gericht Webhoster angewiesen, all diese IP-Adressen auf einen Schlag zu sperren. Dadurch haben die Botnetz-Betreiber keinen Zugang mehr zum Inhalt der Server oder zu infizierten PCs. Ausserdem habe man erreichen können, dass die Trickbot-Betreiber keine zusätzlichen Server mehr kaufen oder mieten können.

Die grosse Frage ist jetzt allerdings, wie lange diese Massnahmen wirksam bleiben. Wie der Microsoft-Teamleiter Tom Burt selbst einräumt, werden die Trickbot-Operateure wohl kaum einfach das Handtuch werfen. Irgendwann dürfte es ihnen gelingen, wieder Zugriff auf infizierte PCs zu erhalten, oder ein ganz neues Botnetz anzulegen. Und warum hat das Microsoft-Team gerade jetzt, also drei Wochen vor den Wahlen zugeschlagen? Den Ausschlag gab laut Burt die Beobachtung, dass die Trickbot-Operateure begonnen hatten, infizierte PCs vermehrt auszuspionieren. Dies habe es ihnen erlaubt, die Systeme gesondert zu markieren, welche Personen gehören, die in die US-Wahlen involviert sein werden.