FBI legt weltweites Botnetz lahm – Trend Micro liefert entscheidende Informationen

Botnetz aus Estland seit fünf Jahren unter Trend Micro-Beobachtung

Tags: Esthost #GhostClick Operation Ghost Click FBI Botnets Festnahme

Hallbergmoos, der 10. November 2011 - Die US-Ermittlungsbehörde FBI (vgl. Pressemitteilung) hat in Zusammenarbeit mit der estnischen Polizei und IT-Unternehmen wie Trend Micro ein Botnetz lahm gelegt, das über vier Millionen gekaperte Rechner in mehr als 100 Ländern weltweit kontrollierte. Die Hintermänner wurden im Rahmen der „Operation Ghost Click“ genannten Polizeiaktion enttarnt und festgenommen. Der IT-Sicherheitsspezialist Trend Micro beobachtete das Botnetz und die Betreiber seit fünf Jahren und lieferte den Behörden entscheidende Informationen.

Insbesondere gelang es Trend Micro, die Struktur der Kontroll- und Befehlsserver (C&C-Server) des Botnetzes zu identifizieren und diese bis zu ihrer Abschaltung am 8. November ununterbrochen zu beobachten. Auch die im estnischen Tartu ansässige Firma „Rove Digital“ als Drahtzieherin hinter dem Botnetz war Trend Micro bereits seit 2006 bekannt. Insgesamt wurden mehr als 100 C&C-Server in einer konzertierten Aktion von Ermittlungsbehörden und IT-Unternehmen vom Netz genommen, gleichzeitig verhaftete die estnische Polizei sechs Verdächtige.

Botnetz änderte DNS-Einstellungen

Das nun zerschlagene Botnetz änderte die DNS-Einstellungen auf den infizierten Rechnern, so dass die Websurfer nach Belieben der Online-Gangster auf fremde Seiten umgeleitet wurden. Unerwünschte Werbeeinblendungen, manipulierte Suchergebnisse oder Versuche, die ahnungslosen Anwender mit falschen Alarmmeldungen zum Kauf vermeintlicher Antivirensoftware – so genannte „FakeAV-Lösungen“ – zu bewegen, waren einige der Taktiken der Kriminellen, aus ihrem riesigen Botnetz Profit zu schlagen. Die Schadsoftware selbst verfügte über leistungsfähige Verteidigungsmechanismen und verhinderte unter anderem die Aktualisierung von echten IT-Sicherheitslösungen.

„Diese konzertierte Aktion gegen eine kriminelle Bande ist höchst bedeutsam. Denn noch nie zuvor wurden cyberkriminelle Aktivitäten dieses Ausmaßes unterbunden. Im Rahmen der Zusammenarbeit von Polizeibehörden verschiedener Länder wurden sechs Personen festgenommen, und zwar auf Basis solider Informationen von Trend Micro und anderen Partnern aus der Branche“, so Martin Rösler, „Director Threat Research“ bei Trend Micro.

Details zu Aufbau und Funktionsweise des Botnetzes

Weitere Details zu Aufbau und Funktionsweise des zerschlagenen Botnetzes sind im Malware-Blog von Trend Micro abrufbar.

Ist mein Rechner infiziert? So finden es Anwender heraus

Auf seinem Blog gibt der Trend Micro-Sicherheitsexperte Rik Ferguson Hilfestellung, wie besorgte Anwender herausfinden können, ob ihr Rechner Teil des Botnetzes war.