Botnetz Smokeloader unter Beteiligung des BSI zerschlagen
Datum 30.05.2024
Das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) haben am 28. und 29. Mai 2024, unter Beteiligung des Bundesamts für Sicherheit in der Informationstechnik (BSI), einen Schlag gegen Cybercrime unternommen. Aus deutscher Sicht war im Zuge der internationalen Maßnahmen der „Operation Endgame“ die Schadsoftware Smokeloader der gefährlichste Dropper und wurde vom Netz genommen.
Bei der Schadsoftware Smokeloader handelt es sich um einen Dropper, der von Angreifern zur Erstinfektion genutzt wird, um die Kontrolle infizierter Systeme zu ermöglichen und diese zu einem Botnetz zu verbinden. Das BSI ist die Cybersicherheitsbehörde des Bundes und betreibt seit vielen Jahren die Gefahrenabwehr bei Botnetzen. Es hat für den Takedown der Schadsoftware Smokeloader eine Sinkholing-Infrastruktur bereitgestellt und ist für die Benachrichtigung der deutschen Opfer zuständig. Für Betroffene ist es schwierig nachzuvollziehen, ob sie selbst Opfer einer Botnetz-Infektion geworden sind. Das BSI stellt auf seiner Website Informationen zur möglichen Erkennung eines infizierten Systems bereit.
Die von den Angreifern verbreiteten Schadprogramme nehmen nach der Infektion eines Systems Kontakt zu einem Kontrollserver (C&C-Server) der Angreifer im Internet auf. Von dort aus laden sie weiteren Schadcode nach, empfangen Instruktionen oder übermitteln auf dem infizierten System ausgespähte Informationen, wie Benutzernamen und Passwörter, an diesen Server.
Ein gängiges Verfahren zur Identifikation mit Schadprogrammen infizierter Systeme ist die Umleitung der Kommunikation der Schadprogramme auf sogenannte „Sinkholes“. Bei der „Operation Endgame“ stand auch die Schadsoftware-Familie Bumblebee im Fokus. Bei Bumblebee wird die Kommunikation seit März 2024 durch das BSI teilweise auf Sinkholes umgeleitet, es werden im Schnitt täglich 5.230 Opfer weltweit informiert. Diese Sinkholes werden vom BSI und weiteren Analystinnen und Analysten sowie IT-Sicherheitsdienstleistern betrieben, um Botnetze zu bekämpfen. Die Sinkholes des BSI protokollieren anschließend die Zugriffsversuche mit Zeitstempel und der Quell-IP-Adresse, von welcher der Zugriff erfolgte. Das BSI informiert im Anschluss die für die jeweiligen IP-Adressen zuständigen Internet-Provider, welche die Benachrichtigung der Opfer übernehmen.