Zum Spamversand genutztes Linux-Botnetz Mumblehard zerschlagen

In einer gemeinsamen Aktion haben das Computer-Notfallteam des deutschen Bundesamts für Sicherheit in der Informationstechnik (CERT-Bund), die Cybercrime-Einheit der ukrainischen Polizei, das Cyber Security Centrum (CyS Centrum) aus Kiew und der Sicherheitsanbieter Eset das weltweit aktive Linux-Botnetz „Mumblehard“ zerschlagen. Sie werten dies als „bedeutenden Schlag gegen Infektion und Missbrauch von Webservern“. Über das Botnetz wurden weltweit massenhaft Spam-Mails versendet.

Eset hatte die Malware Mumblehard im Frühjahr 2015 entdeckt. Im Rahmen der Zusammenarbeit mit den Cybersicherheits-Behörden richtete es einen so genannten Sinkhole-Server ein, der mit allen bekannten Mumblehard-Komponenten ausgestattet war und relevante Verbindungsdaten weiterhin registrierte. Dadurch war der Sicherheitsanbieter in der Lage, die beteiligten und infizierten Webserver ausfindig zu machen. Über diese informierte er dann das Computer-Notfallteam des BSI, um sicherzustellen, dass die weltweiten CERT-Stellen in den Regionen Mitteilungen an die infizierten Serverbetreiber senden und mit Nachdruck um Bereinigung der Mumblehard-Infektion bitten.

Eine detaillierte Analyse der Wirkungsweise von Mumblehard veröffentlichte Eset im April letzten Jahres in Form eines Forschungspapiers (PDF). Unmittelbar danach registrierte sein Sinkhole-Server erste Veränderungen: So verringerte der Malware-Autor zunächst die Ziel-IP-Adressen der Befehl- und Kontroll-Server (C&C-Server) auf eine einzige IP. Die Gründe dafür sind laut Eset unklar, möglicherweise habe sich der Kriminelle bedrängt gefühlt oder schlicht die Organisation vereinfacht. Die Anpassung erfolgte sukzessive im Zeitraum von Mai bis Juni 2015 und konnte durch die Analysevorrichtungen des Sinkhole-Servers nachverfolgt werden.

Da durch diese Änderung nur noch ein einziger C&C-Server die Steuerung aller nachgeschalteten Bots übernahm, begann die Suche nach ebendiesem Server. Die Cybercrime-Sondereinheit der ukrainischen Polizei und das CyS Centrum machten ihm im Herbst 2015 schließlich ausfindig und nahmen ihn vom Netz. Eine forensische Analyse ergab, dass die Annahmen des Eset-Forschungsberichtes vom Frühjahr 2015 weitgehend stimmten.

Um die verteilten Spam-Mails der infizierten Server in den E-Mail-Programmen der Opfer möglichst sichtbar erscheinen zu lassen, integrierten die Cyberkriminellen einen ausgeklügelten Mechanismus: Sie tricksten die Spamhaus Composite Blocking List (CBL), eine dynamische Spam-Absenderdatenbank, durch ein automatisches Skript aus. Wanderte einer der infizierten Botnet-Server auf die Blacklist, sorgte das Skript dafür, dass unmittelbar eine manuelle Löschung der IP über das für fehlerhafte Listungen vorgesehene Formular auf der Spamhaus-Website erfolgte. Dies gelang ihm trotz eines vorgeschalteten CAPTCHA-Bildes, das möglicherweise durch externe Dienstleister oder eine optische Texterkennung umgangen wurde.

Auch nach der Abschaltung des Botnetzes gab es laut Esets Analysedaten im März 2016 weltweit noch über 4000 infizierte, aber durch den fehlenden C&C-Server inaktive Mumblehard-Zombies. Die Administratoren der Server werden weiterhin vom CERT-Bund angeschrieben, gewarnt und über die Infektion aufgeklärt.

Laut Esets Analysedaten waren Ende März 2016 weltweit noch fast 3500 Server mit Mumblehard infiziert (Grafik: Eset).

Wer eine Warnung des CERT-Bund erhält, sollte den kompromittierten Webserver umgehend von der Schadsoftware reinigen. Eine Anleitung dazu findet sich bei GitHub. Um zukünftige Infektionen mit Schadsoftware zu vermeiden rät Eset dazu, alle Serverkomponenten stets aktuell zu halten und mit komplexen Passwörtern zu versehen. Zusätzlich empfiehlt es den Einsatz einer Sicherheitslösung.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de