Niedersachsen klar Logo

Takedown 2.0: Polizei und Staatsanwaltschaft schalten ein weiteres global agierendes Botnetz aus.

Pressemitteilung der Staatsanwaltschaft Verden (Aller) Nr. 21/17 vom 04.12.2017


Erneut schalteten die Ermittler der Zentralen Kriminalinspektion Lüneburg unter Sachleitung der Staatsanwaltschaft Verden (Aller) ein international agierendes Botnetz aus, mit dem die Schadsoftware Andromeda weltweit verbreitet worden war. Nachdem Ende des letzten Jahres ein erfolgreicher Schlag gegen die internationale Botnetzinfrastruktur „Avalanche“ gelang, erfolgte nunmehr ein weiterer Takedown am vergangenen Mittwoch letzter Woche.

Die modular aufgebaute Schadsoftware Andromeda war in den vergangenen Jahren nicht nur in der Infrastruktur „Avalanche“ festgestellt worden, sondern wurde auch über ein weiteres Botnetz verteilt. Diesbezüglich hatte das Federal Bureau of Investigation (FBI) der Vereinigten Staaten bereits ein gesondertes Umfangsverfahren geführt, als Avalanche im letzten Jahr abgeschaltet worden war. Im Zuge der gewonnenen Erkenntnisse aus dem Avalanche-Komplex konnten im weiteren Verlauf der Ermittlungen die Polizeibeamten der ZKI Lüneburg die US-amerikanischen Kollegen unterstützen und gemeinsam die Abschaltung des weiteren Botnetzes planen und vorbereiten.

Die Infektion des Opfer-Systems mit der Schadsoftware „Andromeda“ erfolgt zum einen per E-Mail, welche einen schadhaften Link enthält. Durch Anklicken des Links laden sich die Opfer ein Microsoft Office-Dokument auf ihren Computer, mit dem sie zu einem Download aufgefordert werden, der dann die Infizierung auslöst. Zum anderen kann die Infizierung über sog. Drive-by-Exploits erfolgen. Diese befinden sich auf kompromittierten Werbebannern oder Websites, hauptsächlich solche mit zweifelhaftem Inhalt (Pornographie, illegale Verkäufe, Verstoß gegen Urheberrechte durch Videostreaming etc.). Der Schädling späht das infizierte Opfer-System aus und ist in der Lage, einen Banking-Trojaner nachzuladen, der auf die ausgespähten Daten der Opfer abgestimmt ist. Mittels dieser Schadsoftware gelang es den Tätern in den letzten Jahren mehrere Millionen PC-Systeme zu infizieren. Hauptangriffsziele der Schadsoftware waren Nordamerika, Asien und in Europa im Schwerpunkt die Länder Rumänien, Italien, Deutschland und Polen.

Das FBI hatte die Ermittlungen im Jahr 2015 gemeinsam mit der Firma Microsoft Inc. begonnen. Durch die gemeinsamen Analysen des Botnetzes und die Identifizierung von strukturrelevanten Steuerservern schafften sie die Grundlage für den weiteren Takedown. Ermittlungen führten das FBI in Weißrussland zu einem Tatverdächtigen, der hauptsächlich für die Software-Angriffe verantwortlich sein dürfte. Weißrussische Strafverfolgungsbehörden nahmen ihn am 29.11.2017 fest. Bei der Durchsuchung seiner Wohnung beschlagnahmten die Ermittler zahlreiche verfahrensrelevante Datensysteme und Speichermedien.

Des Weiteren haben die Strafverfolgungsbehörden die zur Verbreitung der Schadsoftware eingesetzten 7 Steuerserver in 6 verschiedenen Ländern beschlagnahmt bzw. abgeschaltet. Darüber hinaus werden 1.500 Domains der Schadsoftware Andromeda mit einer sog. Sinkholing-Maßnahme belegt. Dadurch wurden allein am 30.11.2017 weltweit 1,35 Millionen IT-Systeme identifiziert, die mit der Andromeda Schadsoftware befallen waren. Eine Benachrichtigung der Betroffenen über die Infizierung hat noch am selben Tage begonnen (siehe auch www.bsi-für-buerger.de)

Über die europäische Behörde Europol baten die US-amerikanischen Behörden um Unterstützung bei der Zentralen Kriminalinspektion Lüneburg und der Staatsanwaltschaft Verden für ihre Sinkholing-Maßnahme, um von den gewonnenen Erfahrungen aus dem letzten Jahr zu profitieren und somit einen größtmöglichen Erfolg für die geplanten Maßnahmen zu generieren. Gemeinsam planten sie die erforderlichen Durchsuchungen, Beschlagnahmen von Servern und Domains sowie die Festnahme eines Tatverdächtigen. An den Maßnahmen zur Bekämpfung der Schadsoftware Andromeda waren die Länder Finnland, Frankreich, Polen, Italien, Russland, Niederlande, Weißrussland und USA beteiligt.

Zeitgleich wurden die seit einem Jahr laufenden Sinkholing-Maßnahmen aus dem Avalanche-Verfahren verlängert. Dazu erfolgten zahlreiche Analysen von Schadprogrammen auf ihre genaue Funktionsweise sowie notwendige Anpassungen der Sinkholing-Maßnahmen mit Unterstützung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), des Fraunhofer Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE), der Shadowserver Foundation sowie dem Registrar of Last Resort (ROLR). Insgesamt werden in diesem Jahr weitere 750.000 Domains durch strafprozessuale Maßnahmen dem Missbrauch durch die Täter entzogen. Dabei sind die im letzten Jahr geknüpften weltweiten Beziehungen mit Behörden und Institutionen äußerst hilfreich, um auch zukünftig weltweit eine erfolgreiche Schutzmaßnahme für die Nutzer von Computersystemen zu gewährleisten.

Eine Verlängerung dieser Maßnahmen war notwendig, da bundesweit immer noch 39 Prozent der ursprünglich in Avalanche infizierten Computersysteme bis heute weiterhin infiziert sind – weltweit sogar 55 Prozent.

Die Koordinierung der Zerschlagung des Botnetzes für die Schadsoftware „Andromeda“ und die Verlängerung der Sinkholing-Maßnahmen gegen die ehemaligen Server von Avalanche erfolgte erneut über eine zentrale Befehlsstelle bei Europol. Hier wurden die Maßnahmen von Vertretern der beteiligten Staaten und den genannten privaten Partnern gesteuert und überwacht. Parallel dazu koordinierte Eurojust das Vorgehen auf justizieller Seite.

In die Umsetzung aller genannten Maßnahmen waren insgesamt 27 Staaten eingebunden, unter anderem Finnland, Niederlande, Frankreich, Italien, Polen, Weißrussland, Österreich, Australien, Belgien, Canada, Spanien, Montenegro, Pakistan, Singapore, Taiwan, United Kingdom sowie Tonga.

zum Seitenanfang
zur mobilen Ansicht wechseln