In einer gemeinsamen Aktion haben das Computer-Notfallteam des deutschen Bundesamts für Sicherheit in der Informationstechnik (CERT-Bund), die Cybercrime-Einheit der ukrainischen Polizei, das Cyber Security Centrum (CyS Centrum) aus Kiew und der Sicherheitsanbieter Eset das weltweit aktive Linux-Botnetz „Mumblehard“ zerschlagen. Sie werten dies als „bedeutenden Schlag gegen Infektion und Missbrauch von Webservern“. Über das Botnetz wurden weltweit massenhaft Spam-Mails versendet.
Eine detaillierte Analyse der Wirkungsweise von Mumblehard veröffentlichte Eset im April letzten Jahres in Form eines Forschungspapiers (PDF). Unmittelbar danach registrierte sein Sinkhole-Server erste Veränderungen: So verringerte der Malware-Autor zunächst die Ziel-IP-Adressen der Befehl- und Kontroll-Server (C&C-Server) auf eine einzige IP. Die Gründe dafür sind laut Eset unklar, möglicherweise habe sich der Kriminelle bedrängt gefühlt oder schlicht die Organisation vereinfacht. Die Anpassung erfolgte sukzessive im Zeitraum von Mai bis Juni 2015 und konnte durch die Analysevorrichtungen des Sinkhole-Servers nachverfolgt werden.
Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.
Da durch diese Änderung nur noch ein einziger C&C-Server die Steuerung aller nachgeschalteten Bots übernahm, begann die Suche nach ebendiesem Server. Die Cybercrime-Sondereinheit der ukrainischen Polizei und das CyS Centrum machten ihm im Herbst 2015 schließlich ausfindig und nahmen ihn vom Netz. Eine forensische Analyse ergab, dass die Annahmen des Eset-Forschungsberichtes vom Frühjahr 2015 weitgehend stimmten.
Um die verteilten Spam-Mails der infizierten Server in den E-Mail-Programmen der Opfer möglichst sichtbar erscheinen zu lassen, integrierten die Cyberkriminellen einen ausgeklügelten Mechanismus: Sie tricksten die Spamhaus Composite Blocking List (CBL), eine dynamische Spam-Absenderdatenbank, durch ein automatisches Skript aus. Wanderte einer der infizierten Botnet-Server auf die Blacklist, sorgte das Skript dafür, dass unmittelbar eine manuelle Löschung der IP über das für fehlerhafte Listungen vorgesehene Formular auf der Spamhaus-Website erfolgte. Dies gelang ihm trotz eines vorgeschalteten CAPTCHA-Bildes, das möglicherweise durch externe Dienstleister oder eine optische Texterkennung umgangen wurde.
Auch nach der Abschaltung des Botnetzes gab es laut Esets Analysedaten im März 2016 weltweit noch über 4000 infizierte, aber durch den fehlenden C&C-Server inaktive Mumblehard-Zombies. Die Administratoren der Server werden weiterhin vom CERT-Bund angeschrieben, gewarnt und über die Infektion aufgeklärt.
Wer eine Warnung des CERT-Bund erhält, sollte den kompromittierten Webserver umgehend von der Schadsoftware reinigen. Eine Anleitung dazu findet sich bei GitHub. Um zukünftige Infektionen mit Schadsoftware zu vermeiden rät Eset dazu, alle Serverkomponenten stets aktuell zu halten und mit komplexen Passwörtern zu versehen. Zusätzlich empfiehlt es den Einsatz einer Sicherheitslösung.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…