Internationaler Erfolg gegen Cybercrime: Smokeloader Botnetz zerschlagen

Am 28. und 29. Mai 2024 gelang es dem Bundeskriminalamt (BKA) und der Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT), gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), das Smokeloader Botnetz zu zerschlagen und damit einen bedeutenden Schlag gegen Cyberkriminalität zu führen. Im Rahmen der internationalen „Operation Endgame“ wurde die gefährliche Schadsoftware Smokeloader erfolgreich vom Netz genommen.

Internationaler Erfolg gegen Cybercrime: Smokeloader Botnetz zerschlagen
Internationaler Erfolg gegen Cybercrime: Smokeloader Botnetz zerschlagen. AI generated picture by ©onlinemarktplatz.de

Was ist Smokeloader?

Smokeloader ist eine Schadsoftware, die als sogenannter Dropper fungiert. Angreifer nutzen diesen Dropper, um die Erstinfektion von Systemen zu ermöglichen. Durch die Infektion erhalten sie die Kontrolle über die betroffenen Systeme und verbinden diese zu einem Botnetz. Solche Botnetze werden häufig für weitere kriminelle Aktivitäten genutzt, wie zum Beispiel für DDoS-Angriffe oder das Versenden von Spam.

Beteiligung des BSI an der Operation

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spielte eine zentrale Rolle bei der Zerschlagung des Smokeloader-Botnetzes. Das BSI, als die Cybersicherheitsbehörde des Bundes, stellte eine spezielle Sinkholing-Infrastruktur zur Verfügung. Diese Infrastruktur ermöglicht es, die Kommunikation der Schadsoftware auf sogenannte Sinkholes umzuleiten. Dabei handelt es sich um Server, die speziell dazu eingerichtet sind, den Datenverkehr der infizierten Systeme aufzufangen und zu analysieren.

Schwierigkeit der Erkennung für Betroffene

Für die betroffenen Nutzer ist es oft schwierig zu erkennen, ob ihr System Teil eines Botnetzes geworden ist. Das BSI bietet auf seiner Website umfassende Informationen zur Erkennung von Infektionen an. Durch diese Hilfestellungen können Nutzer überprüfen, ob ihr System infiziert ist und entsprechende Maßnahmen ergreifen.

Funktionsweise der Schadsoftware

Die von den Angreifern verbreiteten Schadprogramme, wie Smokeloader, nehmen nach der Infektion eines Systems Kontakt zu einem Kontrollserver (C&C-Server) auf. Von diesen Servern laden sie weiteren Schadcode nach, empfangen Anweisungen oder übermitteln ausgespähte Informationen, wie Benutzernamen und Passwörter, an die Angreifer.

Methode der Sinkholes

Ein gängiges Verfahren zur Identifikation infizierter Systeme ist die Umleitung der Kommunikation der Schadsoftware auf sogenannte Sinkholes. Bei der „Operation Endgame“ wurde auch die Schadsoftware-Familie Bumblebee ins Visier genommen. Seit März 2024 wird die Kommunikation von Bumblebee teilweise auf Sinkholes umgeleitet. Im Durchschnitt werden täglich 5.230 Opfer weltweit informiert. Diese Sinkholes werden vom BSI sowie weiteren IT-Sicherheitsdienstleistern betrieben, um die Botnetze zu bekämpfen.

Dokumentation und Benachrichtigung der Opfer

Die Sinkholes des BSI protokollieren die Zugriffsversuche der infizierten Systeme mit Zeitstempel und Quell-IP-Adresse. Diese Informationen werden an die entsprechenden Internet-Provider weitergeleitet, welche dann die Benachrichtigung der Opfer übernehmen.

Die erfolgreiche Zerschlagung des Smokeloader-Botnetzes zeigt, wie wichtig internationale Zusammenarbeit und spezialisierte IT-Sicherheitsmaßnahmen sind, um gegen die zunehmende Bedrohung durch Cyberkriminalität vorzugehen.

Frank