Zum Spamversand genutztes Linux-Botnetz Mumblehard zerschlagen

In einer gemeinsamen Aktion haben das Computer-Notfallteam des deutschen Bundesamts für Sicherheit in der Informationstechnik (CERT-Bund), die Cybercrime-Einheit der ukrainischen Polizei, das Cyber Security Centrum (CyS Centrum) aus Kiew und der Sicherheitsanbieter Eset das weltweit aktive Linux-Botnetz „Mumblehard“ zerschlagen. Sie werten dies als „bedeutenden Schlag gegen Infektion und Missbrauch von Webservern“. Über das Botnetz wurden weltweit massenhaft Spam-Mails versendet.

Eset hatte die Malware Mumblehard im Frühjahr 2015 entdeckt. Im Rahmen der Zusammenarbeit mit den Cybersicherheits-Behörden richtete es einen so genannten Sinkhole-Server ein, der mit allen bekannten Mumblehard-Komponenten ausgestattet war und relevante Verbindungsdaten weiterhin registrierte. Dadurch war der Sicherheitsanbieter in der Lage, die beteiligten und infizierten Webserver ausfindig zu machen. Über diese informierte er dann das Computer-Notfallteam des BSI, um sicherzustellen, dass die weltweiten CERT-Stellen in den Regionen Mitteilungen an die infizierten Serverbetreiber senden und mit Nachdruck um Bereinigung der Mumblehard-Infektion bitten.

Eine detaillierte Analyse der Wirkungsweise von Mumblehard veröffentlichte Eset im April letzten Jahres in Form eines Forschungspapiers (PDF). Unmittelbar danach registrierte sein Sinkhole-Server erste Veränderungen: So verringerte der Malware-Autor zunächst die Ziel-IP-Adressen der Befehl- und Kontroll-Server (C&C-Server) auf eine einzige IP. Die Gründe dafür sind laut Eset unklar, möglicherweise habe sich der Kriminelle bedrängt gefühlt oder schlicht die Organisation vereinfacht. Die Anpassung erfolgte sukzessive im Zeitraum von Mai bis Juni 2015 und konnte durch die Analysevorrichtungen des Sinkhole-Servers nachverfolgt werden.

ANZEIGE

Die Cloud forciert Innovationen

Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.

Da durch diese Änderung nur noch ein einziger C&C-Server die Steuerung aller nachgeschalteten Bots übernahm, begann die Suche nach ebendiesem Server. Die Cybercrime-Sondereinheit der ukrainischen Polizei und das CyS Centrum machten ihm im Herbst 2015 schließlich ausfindig und nahmen ihn vom Netz. Eine forensische Analyse ergab, dass die Annahmen des Eset-Forschungsberichtes vom Frühjahr 2015 weitgehend stimmten.

Um die verteilten Spam-Mails der infizierten Server in den E-Mail-Programmen der Opfer möglichst sichtbar erscheinen zu lassen, integrierten die Cyberkriminellen einen ausgeklügelten Mechanismus: Sie tricksten die Spamhaus Composite Blocking List (CBL), eine dynamische Spam-Absenderdatenbank, durch ein automatisches Skript aus. Wanderte einer der infizierten Botnet-Server auf die Blacklist, sorgte das Skript dafür, dass unmittelbar eine manuelle Löschung der IP über das für fehlerhafte Listungen vorgesehene Formular auf der Spamhaus-Website erfolgte. Dies gelang ihm trotz eines vorgeschalteten CAPTCHA-Bildes, das möglicherweise durch externe Dienstleister oder eine optische Texterkennung umgangen wurde.

Auch nach der Abschaltung des Botnetzes gab es laut Esets Analysedaten im März 2016 weltweit noch über 4000 infizierte, aber durch den fehlenden C&C-Server inaktive Mumblehard-Zombies. Die Administratoren der Server werden weiterhin vom CERT-Bund angeschrieben, gewarnt und über die Infektion aufgeklärt.

Laut Esets Analysedaten waren Ende März 2016 weltweit noch fast 3500 Server mit Mumblehard infiziert (Grafik: Eset).

Wer eine Warnung des CERT-Bund erhält, sollte den kompromittierten Webserver umgehend von der Schadsoftware reinigen. Eine Anleitung dazu findet sich bei GitHub. Um zukünftige Infektionen mit Schadsoftware zu vermeiden rät Eset dazu, alle Serverkomponenten stets aktuell zu halten und mit komplexen Passwörtern zu versehen. Zusätzlich empfiehlt es den Einsatz einer Sicherheitslösung.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago