In einer gemeinsamen Aktion haben das Computer-Notfallteam des deutschen Bundesamts für Sicherheit in der Informationstechnik (CERT-Bund), die Cybercrime-Einheit der ukrainischen Polizei, das Cyber Security Centrum (CyS Centrum) aus Kiew und der Sicherheitsanbieter Eset das weltweit aktive Linux-Botnetz „Mumblehard“ zerschlagen. Sie werten dies als „bedeutenden Schlag gegen Infektion und Missbrauch von Webservern“. Über das Botnetz wurden weltweit massenhaft Spam-Mails versendet.
Eine detaillierte Analyse der Wirkungsweise von Mumblehard veröffentlichte Eset im April letzten Jahres in Form eines Forschungspapiers (PDF). Unmittelbar danach registrierte sein Sinkhole-Server erste Veränderungen: So verringerte der Malware-Autor zunächst die Ziel-IP-Adressen der Befehl- und Kontroll-Server (C&C-Server) auf eine einzige IP. Die Gründe dafür sind laut Eset unklar, möglicherweise habe sich der Kriminelle bedrängt gefühlt oder schlicht die Organisation vereinfacht. Die Anpassung erfolgte sukzessive im Zeitraum von Mai bis Juni 2015 und konnte durch die Analysevorrichtungen des Sinkhole-Servers nachverfolgt werden.
Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.
Da durch diese Änderung nur noch ein einziger C&C-Server die Steuerung aller nachgeschalteten Bots übernahm, begann die Suche nach ebendiesem Server. Die Cybercrime-Sondereinheit der ukrainischen Polizei und das CyS Centrum machten ihm im Herbst 2015 schließlich ausfindig und nahmen ihn vom Netz. Eine forensische Analyse ergab, dass die Annahmen des Eset-Forschungsberichtes vom Frühjahr 2015 weitgehend stimmten.
Um die verteilten Spam-Mails der infizierten Server in den E-Mail-Programmen der Opfer möglichst sichtbar erscheinen zu lassen, integrierten die Cyberkriminellen einen ausgeklügelten Mechanismus: Sie tricksten die Spamhaus Composite Blocking List (CBL), eine dynamische Spam-Absenderdatenbank, durch ein automatisches Skript aus. Wanderte einer der infizierten Botnet-Server auf die Blacklist, sorgte das Skript dafür, dass unmittelbar eine manuelle Löschung der IP über das für fehlerhafte Listungen vorgesehene Formular auf der Spamhaus-Website erfolgte. Dies gelang ihm trotz eines vorgeschalteten CAPTCHA-Bildes, das möglicherweise durch externe Dienstleister oder eine optische Texterkennung umgangen wurde.
Auch nach der Abschaltung des Botnetzes gab es laut Esets Analysedaten im März 2016 weltweit noch über 4000 infizierte, aber durch den fehlenden C&C-Server inaktive Mumblehard-Zombies. Die Administratoren der Server werden weiterhin vom CERT-Bund angeschrieben, gewarnt und über die Infektion aufgeklärt.
Wer eine Warnung des CERT-Bund erhält, sollte den kompromittierten Webserver umgehend von der Schadsoftware reinigen. Eine Anleitung dazu findet sich bei GitHub. Um zukünftige Infektionen mit Schadsoftware zu vermeiden rät Eset dazu, alle Serverkomponenten stets aktuell zu halten und mit komplexen Passwörtern zu versehen. Zusätzlich empfiehlt es den Einsatz einer Sicherheitslösung.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…