Doppelschlag gegen "Trickbot"

12. Oktober 2020 um 15:12
  • international
  • security
  • cybercrime
  • symantec
  • eset
image

Microsoft und andere haben das Trickbot-Botnetz lahmgelegt, um zu verhindern, dass es dazu benützt wird, noch mehr Chaos in die US-Wahlen zu bringen.

Microsoft ist zusammen mit einigen weiteren Unternehmen, darunter Symantec und Eset, ein Schlag gegen das Trickbot-Botnetz gelungen. Gemäss Microsoft sind beim Softwareriesen im Laufe des Frühjahrs Befürchtungen aufgekommen, dass Cyberkriminelle oder staatlich unterstützte Hacker dieses Botnetz benützen könnten, um während den Präsidentschaftswahlen in den USA IT-Systeme lahmzulegen. "Das wäre, wie wenn jemand Benzin ins Feuer der schon jetzt unglaublichen Diskussionen um die Gültigkeit der Wahlen giessen würde", sagte dazu der Microsoft-Mann Tom Burt, der das Anti-Trickbot-Team leitet. Im Laufe der letzten Monate habe man sich überlegt, wie man dies verhindern könnte, und nun zugeschlagen.

Auch Cyber-Soldaten am Werk

Parallel und anscheinend ohne sich mit Microsoft abzusprechen ist auch das United States Cyber Command gegen Trickbot vorgegangen, wie die 'New York Times' berichtet. Die US-Cyber-Soldaten haben laut diesem Bericht am 22. September und am 1. Oktober direkt einige Command & Control Server des Botnetzes infiltriert und lahmgelegt. Dadurch hätten die Hintermänner jeweils die Kontrolle über einige Tausend infizierte PCs verloren. Allerdings haben sie diese Kontrolle jeweils innert weniger Stunden wiedererlangt.
Es ist unklar, ob die Aktionen des Cyberkommandos wenig erfolgreich waren, oder ob dies vielleicht nur "Fingerübungen" für einen viel grösseren Angriff auf das Command- & Control-Netzwerk von Trickbot waren.
Der Schlag des Teams rund um Microsoft scheint aber deutlich umfassender gewesen zu sein und könnte das Botnetz über eine längere Zeitspanne hinweg lahmlegen. Gemäss Microsoft war es Kern des Plans, nicht nur mit technischen Massnahmen, sondern auch mit den geeigneten rechtlichen Waffen in der Hand das Botnetz ausser Gefecht zu setzen.

Microsoft setzt auch auf rechtliche Waffen

Das Trickbot-Botnetz besteht aus einigen hunderttausend, vielleicht sogar Millionen von infizierten PCs. Trickbot wurde 2016 erstmals beschrieben. Ursprünglich war die Malware dafür konzipiert, als Banking-Trojaner Zugangsdaten zu stehlen. Mittlerweile kann sie aber auch selbst weitere Malware, beispielsweise Ransomware, auf die betroffenen PCs schleusen. Dies machen nicht unbedingt die Betreiber des Botnetzes selbst. Sie legen auch Listen von infizierten Systemen und deren Inhabern an und verkaufen Zugänge an Cyberkriminelle oder staatliche Akteure.
Die Hintermänner sprechen laut Microsoft russisch und sind wahrscheinlich irgendwo in Osteuropa stationiert. Ob das stimmt und ob sie eine Verbindung zur russischen Regierung haben, ist aber nicht erwiesen.
Was die Trickbot-Malware auf einem infizierten System tut, wird via die bereits erwähnten Command & Control Server gesteuert. Laut Microsoft ist es seinem Team im Laufe der letzten Monate gelungen, viele Details darüber herauszufinden, wie diese Server mit der Malware kommunizieren. Unter anderem habe man dabei auch die genauen IP-Adressen der Server herausgefunden.
Aufgrund dieser Beweise habe dann ein US-Gericht Webhoster angewiesen, all diese IP-Adressen auf einen Schlag zu sperren. Dadurch haben die Botnetz-Betreiber keinen Zugang mehr zum Inhalt der Server oder zu infizierten PCs. Ausserdem habe man erreichen können, dass die Trickbot-Betreiber keine zusätzlichen Server mehr kaufen oder mieten können.

Wann erholen sich die Hintermänner?

Die grosse Frage ist jetzt allerdings, wie lange diese Massnahmen wirksam bleiben. Wie der Microsoft-Teamleiter Tom Burt selbst einräumt, werden die Trickbot-Operateure wohl kaum einfach das Handtuch werfen. Irgendwann dürfte es ihnen gelingen, wieder Zugriff auf infizierte PCs zu erhalten, oder ein ganz neues Botnetz anzulegen. Und warum hat das Microsoft-Team gerade jetzt, also drei Wochen vor den Wahlen zugeschlagen? Den Ausschlag gab laut Burt die Beobachtung, dass die Trickbot-Operateure begonnen hatten, infizierte PCs vermehrt auszuspionieren. Dies habe es ihnen erlaubt, die Systeme gesondert zu markieren, welche Personen gehören, die in die US-Wahlen involviert sein werden.

Loading

Mehr erfahren

Mehr zum Thema

image

Windows-Sicherheitslücke stand lange offen

Hacker konnten die Lücke wohl einige Wochen oder sogar Monate ausnützen, bevor ein Patch veröffentlicht wurde.

publiziert am 14.6.2024
image

DDoS-Attacken wurden abgewehrt

Das Bundesamt für Cybersicherheit hat weitere Angriffe festgestellt.

publiziert am 14.6.2024
image

Podcast: Der beste Freund der Insider-Bedrohung ist die Leugnung ihrer Existenz

Bei Cyberbedrohungen denkt man oft nur an Angriffe von Aussen. Was aber ist mit Insidern, die ein System von Innen heraus angreifen? Darüber debattiert Doron Zimmermann, Experte für Cyberbedrohungen und Security Threat Intelligence, mit Chefredaktor Reto Vogt.

publiziert am 14.6.2024
image

Zuger Krypto-Firma Lykke von Cyberangriff getroffen

Das Unternehmen hat den Handel über seine Plattform ausgesetzt. Bei einem Cyberangriff sind Assets im Wert von mehr als 22 Millionen Dollar gestohlen worden.

publiziert am 13.6.2024