Internationaler Erfolg gegen Cybercrime: Smokeloader Botnetz zerschlagen
Am 28. und 29. Mai 2024 gelang es dem Bundeskriminalamt (BKA) und der Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT), gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), das Smokeloader Botnetz zu zerschlagen und damit einen bedeutenden Schlag gegen Cyberkriminalität zu führen. Im Rahmen der internationalen „Operation Endgame“ wurde die gefährliche Schadsoftware Smokeloader erfolgreich vom Netz genommen.
Inhaltsverzeichnis

Was ist Smokeloader?
Smokeloader ist eine Schadsoftware, die als sogenannter Dropper fungiert. Angreifer nutzen diesen Dropper, um die Erstinfektion von Systemen zu ermöglichen. Durch die Infektion erhalten sie die Kontrolle über die betroffenen Systeme und verbinden diese zu einem Botnetz. Solche Botnetze werden häufig für weitere kriminelle Aktivitäten genutzt, wie zum Beispiel für DDoS-Angriffe oder das Versenden von Spam.
Beteiligung des BSI an der Operation
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spielte eine zentrale Rolle bei der Zerschlagung des Smokeloader-Botnetzes. Das BSI, als die Cybersicherheitsbehörde des Bundes, stellte eine spezielle Sinkholing-Infrastruktur zur Verfügung. Diese Infrastruktur ermöglicht es, die Kommunikation der Schadsoftware auf sogenannte Sinkholes umzuleiten. Dabei handelt es sich um Server, die speziell dazu eingerichtet sind, den Datenverkehr der infizierten Systeme aufzufangen und zu analysieren.
Schwierigkeit der Erkennung für Betroffene
Für die betroffenen Nutzer ist es oft schwierig zu erkennen, ob ihr System Teil eines Botnetzes geworden ist. Das BSI bietet auf seiner Website umfassende Informationen zur Erkennung von Infektionen an. Durch diese Hilfestellungen können Nutzer überprüfen, ob ihr System infiziert ist und entsprechende Maßnahmen ergreifen.
Funktionsweise der Schadsoftware
Die von den Angreifern verbreiteten Schadprogramme, wie Smokeloader, nehmen nach der Infektion eines Systems Kontakt zu einem Kontrollserver (C&C-Server) auf. Von diesen Servern laden sie weiteren Schadcode nach, empfangen Anweisungen oder übermitteln ausgespähte Informationen, wie Benutzernamen und Passwörter, an die Angreifer.
Methode der Sinkholes
Ein gängiges Verfahren zur Identifikation infizierter Systeme ist die Umleitung der Kommunikation der Schadsoftware auf sogenannte Sinkholes. Bei der „Operation Endgame“ wurde auch die Schadsoftware-Familie Bumblebee ins Visier genommen. Seit März 2024 wird die Kommunikation von Bumblebee teilweise auf Sinkholes umgeleitet. Im Durchschnitt werden täglich 5.230 Opfer weltweit informiert. Diese Sinkholes werden vom BSI sowie weiteren IT-Sicherheitsdienstleistern betrieben, um die Botnetze zu bekämpfen.
Dokumentation und Benachrichtigung der Opfer
Die Sinkholes des BSI protokollieren die Zugriffsversuche der infizierten Systeme mit Zeitstempel und Quell-IP-Adresse. Diese Informationen werden an die entsprechenden Internet-Provider weitergeleitet, welche dann die Benachrichtigung der Opfer übernehmen.
Die erfolgreiche Zerschlagung des Smokeloader-Botnetzes zeigt, wie wichtig internationale Zusammenarbeit und spezialisierte IT-Sicherheitsmaßnahmen sind, um gegen die zunehmende Bedrohung durch Cyberkriminalität vorzugehen.
- Peter Hahn GmbH schließt Sanierung erfolgreich ab: Wourth Group als neuer Investor - 17. Januar 2025
- Amazon gewinnt 2024 über 900.000 neue Verkäufer – ein täglicher Zuwachs von etwa 3.700 Händlern - 17. Januar 2025
- Sinkflug gestoppt: Deutsche Startup-Szene sammelt 2024 mehr als sieben Milliarden Euro ein - 17. Januar 2025