Ausgequakt: Erfolgreicher Takedown gegen Qakbot-Botnetz
In einer international koordinierten Aktion hat vergangene Woche ein Zusammenschluss von Strafverfolgungsbehörden einen erfolgreichen Schlag gegen Online-Kriminalität landen können. Unter Mitwirkung des Bundeskriminalamts konnten die Ermittler die Kontroll-Infrastruktur des Botnetzes übernehmen.
Die kriminelle Online-Welt hat eines ihrer Zugpferde verloren: Qakbot. Das seit 2007 betriebene Botnet bestand zu Hochzeiten aus zirka 700.000 Computern in aller Welt, deren Kapazität und Rechenleitung von Kriminellen für alle möglichen Dienste vermietet wurden. Von Überlastangriffen bis Spamversand war alles dabei.
Enthauptungsschlag
Ausgequakt – damit ist nun Schluss – in einer langwierigen Ermittlungs- und Koordinationsarbeit haben zahlreiche Strafverfolgungsbehörden in den USA und Europa das Botnetz an seiner empfindlichsten Stelle getroffen: der Kommando- und Kontrollinfrastruktur, mit der alle infizierten Systeme weltweit gesteuert wurden. Diese befindet sich vollständig unter Kontrolle der Strafverfolgung. Damit ist es den Drahtziehern hinter Qakbot unmöglich, die von ihnen infizierten PCs zu kontrollieren.
Um sicher zu stellen, dass Qakbot nicht nur für den Moment weg ist, sondern es auch dauerhaft bleibt, haben die Ermittlungsteams dafür gesorgt, dass in einer allerletzten „Amtshandlung“ der Steuerzentrale sämtliche Clients des Botnetzes den Befehl erhalten, sich selbst zu deinstallieren.
Ein Haar in der Suppe
Was an sich ein durchaus sinnvoller Schritt ist, bringt jedoch auch potenziell Probleme mit sich. Denn zum einen ist die Praxis, über eine tief im System sitzende Malware Befehle an fremde Systeme zu senden, nicht unumstritten. In einigen Fällen in der Vergangenheit ist der Gedanke, dass eine Behörde Zugriff auf Systeme in Unternehmen und Privathaushalten nimmt, auf wenig Gegenliebe gestoßen. Zwar verfolgten die Behörden seinerzeit durchaus hehre Absichten (Schließen einer schwerwiegenden Sicherheitslücke), aber einigen Fachleuten gefiel der Grundgedanke nicht.
In diesem Fall kommt noch eine weitere Komponente mit ins Spiel: Die Deinstallation des Botnet-Clients ist nicht immer reibungslos verlaufen. Vor allem eine Anzahl Rechner mit älteren Betriebssystemen (Windows 7, 8 und 8.1) dürften hiervon betroffen sein. Zwar spielen diese in Privathaushalten so gut wie keine Rolle mehr – dafür aber in einigen Umgebungen, in denen Updates von Hard- und Software selten sind.
Die Konsequenzen dürften zwar vernachlässigbar sein, denn das Botnet ist praktisch abgeschaltet. Und ohne Befehl von außen tut der Qakbot-Client nichts. Ein gewisses Unbehagen bleibt jedoch bei dem Gedanken daran, dass eine potente, aber derzeit führungslose Schadsoftware noch auf einem System schlummert. Die technischen Details zu dieser Einschätzung finden Sie übrigens auf dem Blog von G Data Advanced Analytics (Artikel in englischer Sprache – Link öffnet sich in einem neuen Fenster).
Ausgequakt: Grund zum Feiern
Auch wenn das klingt, als würde dies den Erfolg der Ermittlungsteams schmälern: Nichts wäre weiter von der Realität entfernt. Im Gegenteil, die Aktion war ein voller Erfolg.
Die Tätergruppe hinter Qakbot muss, wenn sie weiter im Geschäft bleiben will, bei Null anfangen. Das wird sicherlich auch irgendwann passieren, aber das bedeutet auch einen immensen finanziellen Schaden für die Kriminellen. Ihnen dürften dürften durch den Takedown Millionenumsätze entgehen. Selbiges galt für Emotet – auch wenn nach knapp einem Jahr der auch durch Unterstützung von Sachverständigen der G Data entthronte „König der Schadsoftware“ zwar deutlich geschwächt, nichtsdestotrotz aber wieder zurück war, ist der Gruppe doch praktisch ein kompletter Jahresumsatz weggebrochen. Die Schäden, die dadurch verhindert wurden, sind kaum zu beziffern.
Insofern ist, auch wenn es vielleicht ein kleines Haar in der Suppe gibt, ein Glückwunsch in Richtung der ermittelnden Beamten bei BKA, ZIT, Eurojust, Europol und FBI absolut angebracht. In einer Zeit, in der sich Ermittlungsbehörden angesichts beschränkter Mittel und personeller Kapazitäten bisweilen gegenseitig bemitleiden, darf man sich hier durchaus zurecht über einen spektakulären Ermittlungserfolg freuen.
Dieser Beitrag erschien erstmals auf dem Blog von G Data Cyber Defense.