Microsoft & Co. übernehmen Kontrolle über das TrickBot-Botnetz

[English]In einer koordinierten Aktion haben Tech-Firmen wie Microsoft, Symantec und weitere die Kontrolle über das TrickBot-Botnetz erlangt. Ziel ist die Deaktivierung dieses Botnetzes.


Anzeige

Hintergrund zum TrickBot-Botnetz

TrickBot war ursprünglich ein Banking-Trojaner, der 2016 erstmals bekannt wurde. Die weiter entwickelte Trickbot-Malware hat seit Ende 2016 weltweit über eine Million Windows-Systeme infiziert. Obwohl die genaue Identität der Betreiber unbekannt ist, legen Untersuchungen nahe, dass sie sowohl Nationalstaaten als auch kriminellen Netzwerken für eine Vielzahl von Zielen dienen. Die Hintermänner betreiben eine ganze Infrastruktur, das TrickBot-Botnetz, um die Malware zu kontrollieren und zu steuern. Die Gruppe wird in Russland vermutet.

Ein Baukasten an Schadfunktionen

Microsofts Sicherheitspezialisten haben im Zuge der Untersuchungen etwa 61.000 Trickbot-Malware-Beispiel analysiert. Was Trickbot so gefährlich macht, ist die Tatsache, dass es über modulare Funktionen verfügt, die ständig weiterentwickelt werden. Diese Module infizieren die Opfer für die Zwecke der Betreiber durch ein "Malware-as-a-Service"-Modell. Die Betreiber des TrickBot-Netzwerks könnten ihren 'Kunden' Zugang zu infizierten Rechnern gewähren und ihnen einen Liefermechanismus für viele Formen von Malware, einschließlich Ransomware, anbieten. Neben der Infizierung von Endbenutzer-Computern hat Trickbot auch eine Reihe von "Internet der Dinge" IoT-Geräten, wie z.B. Router, infiziert, was die Reichweite von Trickbot auf Haushalte und Organisationen ausgedehnt hat.

Die Hintermänner agieren flexibel

Neben der Bereitstellung modularer Fähigkeiten für eine Vielzahl von Einsatzszenarien sind die Betreiber des Botnetzes flexibel und passen sich mit ihren Techniken an gesellschaftliche Entwicklungen an. Die Betreiber von Trickbot reagierten sofort mit Spam- und Spear-Phishing-Kampagnen auf Themen wie Black Lives Matter und COVID-19. In den Kampagnen wurden Nutzer dazu verleitet, auf bösartige Dokumente oder Links zu klicken. Basierend auf den Daten, die Microsoft durch die erweiterte Bedrohungserkennung von Microsoft Office 365 erhält, war Trickbot die produktivste Malware-Operation, die das Thema COVID-19 als Köder verwendete.

Zerschlagung des TrickBot-Botnetzes

Während der Analyse des TrickBot-Botnetzes gelang es Microsoft und seinen Partnern operative Details zu ermitteln. Darunter fallen Informationen zur Infrastruktur, die Trickbot zur Kommunikation mit und Kontrolle über die Computer der Opfer verwendet. Dazu gehören aber auch Kenntnisse der Art und Weise, wie infizierte Computer miteinander kommunizieren. Und die Trickbot-Mechanismen, mit denen sich Trickbot der Entdeckung entzieht und versucht, seinen Betrieb zu stören, wurden ergründet.

Als Microsoft beobachteten, wie sich die infizierten Computer mit Befehls- und Kontroll-Servern verbanden und von diesen Anweisungen erhielten, konnten die genauen IP-Adressen dieser Server ermittelt werden. Mit diesen Beweisen erteilte das Gericht Microsoft und unseren Partnern die Genehmigung, die IP-Adressen zu deaktivieren, die auf den Command-and-Control-Servern gespeicherten Inhalte unzugänglich zu machen, alle Dienste für die Botnetzbetreiber auszusetzen und alle Bemühungen der Trickbot-Betreiber, zusätzliche Server zu kaufen oder zu leasen, zu blockieren.

In diesem Artikel gab Microsoft die Aktion zur Zerschlagung des TrickBot-Botnetzes bekannt. Microsoft hat mit seinen Partnern dann Maßnahmen zur Übernahme und Deaktivierung des TrickBot-Botnetzes ergriffen, nachdem das US-Bezirksgericht für den östlichen Bezirk von Virginia den beantragten Beschluss zur Zerschlagung des Trickbot-Botnetzes stattgegeben hat.

Gemeinsame Aktion zur Zerschlagung

Um diese Aktion durchzuführen, bildete Microsoft eine internationale Gruppe von Industrie- und Telekommunikationsanbietern. Beteiligt war ein globales Netzwerk von Partnern wie FS-ISAC, ESET, Lumen's Black Lotus Labs, NTT und Symantec, einer Abteilung von Broadcom, zusätzlich zum Microsoft Defender-Team. Microsofts Digital Crimes Unit (DCU) leitete die Ermittlungen, sowie die Erkennung, Analyse, Telemetrie und das Reverse Engineering.

Diese Aktion stellt auch einen neuen rechtlichen Ansatz dar, den Microsofts DCU zum ersten Mal anwendet. Im Fall wurden vor Gericht auch urheberrechtliche Ansprüche gegen die böswillige Verwendung von Microsofts Software-Codes durch Trickbot geltend gemacht, um den Gerichtsbeschluss zu erwirken. Dieser Ansatz ist eine wichtige Entwicklung in den Bemühungen Microsofts und andere Sicherheitsunternehmen, die Verbreitung von Malware zu stoppen. Laut Microsoft ermöglicht der jetzt ergangene Beschluss auch, Zivilklagen zu erheben, um Kunden auf der ganzen Welt zu schützen.


Anzeige

Microsoft geht davon aus, dass die Betreiber von Trickbot Anstrengungen unternehmen werden, um den Betrieb des Botnetzes wieder zu beleben. Das Konsortium will aber die Aktivitäten der TrickBot-Gang überwachen und zusätzliche rechtliche und technische Schritte unternehmen, um die Verbreitung von Malware zu stoppen.

Golem hat in diesem Artikel die Geschichte, basierend auf dem Bericht der Washington Post, etwas anders beschrieben. Dieser Erzählung nach führte das US-Militär seit Ende September 2020 eine Operation gegen die TrickBot-Schadsoftware und deren Botnetzwerk aus. Mit mehreren Angriffen sollen dem Netzwerk die Bots entrissen und die Datenbank auf dessen Kontrollserver mit nicht-existierenden Bots gefüllt worden sein. Die Hintermänner der Gang, die in Russland vermutet werden, sollen im Umfeld der US-Präsidentschaftswahlen 'beschäftigt' werden.

Ähnliche Artikel:
Sicherheit: Hacks und Ransomware, die neue Bedrohung
EmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate
Sicherheit & Hacks: Tupperware, WHO, Industrie
Conti Ransomware-Gang will VW-Gruppe gehackt haben


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Microsoft & Co. übernehmen Kontrolle über das TrickBot-Botnetz

  1. No sagt:

    Nach https://feodotracker.abuse.ch/browse/ gibt es um 18:30 immer noch active C2 – Server von Trickbot, auch in D. Oder sind die im Artikel genannten Server das nächste, verborgenen Level?

  2. Andreas sagt:

    Man hört in letzter Zeit öfter von solchen Kooperationen zwischen den Großen der IT-Branche, die da fast schon Polizeiarbeit leisten. Das ganze wird dann von einem US-Bezirksgericht autorisiert, ist jedoch eine Aktion, die die Zusammenarbeit verschiedenster Akteure auf internationaler Ebene erfordert.

    Wem fällt hier etwas auf? Wann kommt Crime Investigations as a Service (CIaaS)? Wann wird die Microsoft-eigene Digital Crimes Unit zur semi-staatlichen Einrichtung? Oder ist es irgendwann sowieso egal wenn Firmen staatliche Aufgaben übernehmen, weil sie defacto der Staat sind? Nur mal so als Denkanstoß…

  3. 1ST1 sagt:

    Das ist die beste Nachricht seit langem. Hoffentlich gelingt es auch, Emotet still zu legen und diesen Leuten dahinter die geladene Panzerfaust vors Gesicht zu halten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.