Ausgequakt Quakbot Docker Hub

Ausgequakt: Erfolgreicher Takedown gegen Qakbot-Botnetz

Tim Berghoff  |

Ausgequakt: Erfolgreicher Takedown gegen Qakbot-Botnetz

In einer international koordinierten Aktion hat vergangene Woche ein Zusammenschluss von Strafverfolgungsbehörden einen erfolgreichen Schlag gegen Online-Kriminalität landen können. Unter Mitwirkung des Bundeskriminalamts konnten die Ermittler die Kontroll-Infrastruktur des Botnetzes übernehmen.

Die kriminelle Online-Welt hat eines ihrer Zugpferde verloren: Qakbot. Das seit 2007 betriebene Botnet bestand zu Hochzeiten aus zirka 700.000 Computern in aller Welt, deren Kapazität und Rechenleitung von Kriminellen für alle möglichen Dienste vermietet wurden. Von Überlastangriffen bis Spamversand war alles dabei.

Enthauptungsschlag

Ausgequakt – damit ist nun Schluss – in einer langwierigen Ermittlungs- und Koordinationsarbeit haben zahlreiche Strafverfolgungsbehörden in den USA und Europa das Botnetz an seiner empfindlichsten Stelle getroffen: der Kommando- und Kontrollinfrastruktur, mit der alle infizierten Systeme weltweit gesteuert wurden. Diese befindet sich vollständig unter Kontrolle der Strafverfolgung. Damit ist es den Drahtziehern hinter Qakbot unmöglich, die von ihnen infizierten PCs zu kontrollieren.

Um sicher zu stellen, dass Qakbot nicht nur für den Moment weg ist, sondern es auch dauerhaft bleibt, haben die Ermittlungsteams dafür gesorgt, dass in einer allerletzten „Amtshandlung“ der Steuerzentrale sämtliche Clients des Botnetzes den Befehl erhalten, sich selbst zu deinstallieren.

Ein Haar in der Suppe

Was an sich ein durchaus sinnvoller Schritt ist, bringt jedoch auch potenziell Probleme mit sich. Denn zum einen ist die Praxis, über eine tief im System sitzende Malware Befehle an fremde Systeme zu senden, nicht unumstritten. In einigen Fällen in der Vergangenheit ist der Gedanke, dass eine Behörde Zugriff auf Systeme in Unternehmen und Privathaushalten nimmt, auf wenig Gegenliebe gestoßen. Zwar verfolgten die Behörden seinerzeit durchaus hehre Absichten (Schließen einer schwerwiegenden Sicherheitslücke), aber einigen Fachleuten gefiel der Grundgedanke nicht.

In diesem Fall kommt noch eine weitere Komponente mit ins Spiel: Die Deinstallation des Botnet-Clients ist nicht immer reibungslos verlaufen. Vor allem eine Anzahl Rechner mit älteren Betriebssystemen (Windows 7, 8 und 8.1) dürften hiervon betroffen sein. Zwar spielen diese in Privathaushalten so gut wie keine Rolle mehr – dafür aber in einigen Umgebungen, in denen Updates von Hard- und Software selten sind.

Die Konsequenzen dürften zwar vernachlässigbar sein, denn das Botnet ist praktisch abgeschaltet. Und ohne Befehl von außen tut der Qakbot-Client nichts. Ein gewisses Unbehagen bleibt jedoch bei dem Gedanken daran, dass eine potente, aber derzeit führungslose Schadsoftware noch auf einem System schlummert. Die technischen Details zu dieser Einschätzung finden Sie übrigens auf dem Blog von G Data Advanced Analytics (Artikel in englischer Sprache – Link öffnet sich in einem neuen Fenster).

Ausgequakt: Grund zum Feiern

Auch wenn das klingt, als würde dies den Erfolg der Ermittlungsteams schmälern: Nichts wäre weiter von der Realität entfernt. Im Gegenteil, die Aktion war ein voller Erfolg.

Die Tätergruppe hinter Qakbot muss, wenn sie weiter im Geschäft bleiben will, bei Null anfangen. Das wird sicherlich auch irgendwann passieren, aber das bedeutet auch einen immensen finanziellen Schaden für die Kriminellen. Ihnen dürften dürften durch den Takedown Millionenumsätze entgehen. Selbiges galt für Emotet – auch wenn nach knapp einem Jahr der auch durch Unterstützung von Sachverständigen der G Data entthronte „König der Schadsoftware“ zwar deutlich geschwächt, nichtsdestotrotz aber wieder zurück war, ist der Gruppe doch praktisch ein kompletter Jahresumsatz weggebrochen. Die Schäden, die dadurch verhindert wurden, sind kaum zu beziffern.

Insofern ist, auch wenn es vielleicht ein kleines Haar in der Suppe gibt, ein Glückwunsch in Richtung der ermittelnden Beamten bei BKA, ZIT, Eurojust, Europol und FBI absolut angebracht. In einer Zeit, in der sich Ermittlungsbehörden angesichts beschränkter Mittel und personeller Kapazitäten bisweilen gegenseitig bemitleiden, darf man sich hier durchaus zurecht über einen spektakulären Ermittlungserfolg freuen.

Dieser Beitrag erschien erstmals auf dem Blog von G Data Cyber Defense.

Autor

  • Tim Berghoff G_Data

    Tim Berghoff ist Security Evangelist bei G DATA CyberDefense. In seiner Position bei G DATA bildet er die Schnittstelle zwischen technischer Komplexität und dem Anwender. Er ist zuständig für eine klare Kommunikation von G DATA in der Sicherheits-Fachwelt, bei Presse, Händlern, Resellern und Endkunden und er spricht häufig auf nationalen und internationalen Veranstaltungen. Tim Berghoff arbeitet seit 2009 bei G DATA, erst im Support für Unternehmenskunden, später im Consulting für internationale B2B-Distributoren, Partner und Endkunden.

Weitere Inhalte zum Thema

Nichts mehr verpassen?

Newsletter IT-Sicherheit
Marktplatz IT-Sicherheit Skip to content