Microsoft und Symantec schalten Botnetz „Bamital“ ab

Microsoft und Symantec haben die Schließung eines weiteren Botnetzes erreicht. Nach Angaben der beiden Firmen umfasste es mehrere Hunderttausend Computer. Betroffene Rechner konnten anschließend nicht mehr im Internet suchen. Wie Reuters berichtet, ist es das erste Mal, dass Firmen, die ein Botnetz abgeschaltet haben, betroffene Nutzer direkt gewarnt und ihnen Hilfe angeboten haben.

Das Bamital genannte Botnet ist das sechste, gegen das Microsoft seit 2010 per Gerichtsbeschluss vorgegangen ist. Es ist zudem das zweite Mal, dass der Softwarekonzern dabei mit Symantec zusammengearbeitet hat. Den Antrag zur Schließung des Botnetzes stellten Symantec und Microsoft in der vergangenen Woche, meldet Reuters.

„Unsere Daten zeigen, dass die Infektionen weltweit verbreitet waren. Die meisten Nutzer befinden sich in den USA“, sagte Vikram Thakur, Principal Security Response Manager bei Symantec, bei einer Telefonkonferenz. Bamital habe Klicks auf Suchergebnisse von Google, Bing und Yahoo abgefangen und auf Websites der Hintermänner des Botnets umgeleitet.

Die Ermittlungen im Fall Bamital begannen Reuters zufolge schon vor mehr als einem Jahr. Das Angebot zur Zusammenarbeit sei von Symantec ausgegangen. Trotz seiner eher geringen Größe von 300.000 bis 600.000 Computern sei es nicht einfach gewesen, das Botnetz abzuschalten, ergänzte Thakur. Es habe rund ein Jahr gebraucht, um alle Beweise zu sammeln und einen Plan zu entwickeln, um Nutzer vor den Folgen der Abschaltung des Botnetzes zu schützen.

„Das Interessante daran war, dass die Hintermänner immer wieder mit ihrem Botnetz gespielt und es verbessert haben, weswegen es einige Zeit gedauert hat, bis es stabil genug war, um eingreifen zu können“, sagte Richard Boscovich, Assistant General Counsel von Microsofts Digital Crimes Unit. Diese zahlreichen Veränderungen eines Botnetzes seien sehr ungewöhnlich.

Boscovich und Thakur erwarten, dass Cyberkriminelle natürlich auch künftig Botnetze aufbauen werden. Bessere Gesetze und die Zusammenarbeit zwischen Firmen wie Microsoft und Symantec erschwerten es ihnen aber, ihrer Ziele zu erreichen. „Je häufiger wir diese Operationen durchführen, desto offensichtlicher wird es der Untergrund-Community, dass wir hinter ihnen her sind“, sagte Boscovich.

Mit der Schließung von Bamital sei es erstmals gelungen, betroffene Nutzer auf eine Infektion hinzuweisen und ihnen ein Tool zur Bereinigung ihres Computers anzubieten, erklärte Thakur. Dafür sei eine Website mit den Logos von Microsoft und Symantec eingerichtet worden, die bei jeder Suche angezeigt wurde. Darüber hinaus enthielt die Website auf Initiative von Microsoft auch die Pseudonyme der Hintermänner sowie ihre E-Mail-Adressen, Anschriften und Telefonnummern.

Insgesamt 18 Personen weltweit sollen am Aufbau und Betrieb von Bamital beteiligt gewesen sein. Microsofts Digital Crime Unit geht Reuters zufolge davon aus, dass das Botnet seine Wurzeln in Russland hat. Ein Hinweis darauf sei in Cookies des Botnetzes gefunden worden.

[mit Material von Seth Rosenblatt, News.com]