Home » News » Gefährliches Botnetz „Smokeloader“ mit BSI-Unterstützung zerschlagen

Gefährliches Botnetz „Smokeloader“ mit BSI-Unterstützung zerschlagen

Das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt am Main (ZIT) haben am 28. und 29. Mai 2024, unterstützt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), einen Schlag gegen Cybercrime geführt. Im Rahmen der internationalen „Operation Endgame“ wurde die gefährliche Schadsoftware Smokeloader vom Netz genommen.

2 Min. Lesezeit
a smartphone infected with a mobile botnet, showing the coordinated network of compromised devices.
Foto: ©AdobeStock/jovannig

Die Schadsoftware Smokeloader ist ein in vielen Ländern aktiver Dropper, der von Angreifern zur Erstinfektion genutzt wird, um die Kontrolle über infizierte Systeme zu erlangen und sie in ein Botnetz zu integrieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Cybersicherheitsbehörde des Bundes, betreibt seit vielen Jahren die Abwehr von Botnetzen. Für den Takedown von Smokeloader im Rahmen einer internationalen Aktion stellte das BSI eine Sinkhole-Infrastruktur bereit.

Was ist ein Sinkhole?

Eine Sinkhole-Infrastruktur ein wichtiges Werkzeug zur Bekämpfung von Botnetzen und anderen Formen von Schadsoftware, indem sie deren Kommunikation stört und Daten über Infektionen sammelt, um die betroffenen Systeme zu identifizieren und zu bereinigen. Und so funktioniert es:

  1. Umleitung des Datenverkehrs: Wenn eine Schadsoftware auf einem infizierten System installiert ist, versucht sie häufig, sich mit einem Kontrollserver (C&C-Server) zu verbinden, um weitere Anweisungen zu erhalten oder Daten zu senden. Eine Sinkhole-Infrastruktur fängt diese Verbindungsversuche ab und leitet sie zu speziellen Servern (Sinkholes) um, die von Sicherheitsforschern oder Behörden kontrolliert werden.
  2. Unterbrechung der Schadsoftware-Kommunikation: Durch diese Umleitung wird die Kommunikation der Schadsoftware mit den tatsächlichen Kontrollservern der Angreifer unterbrochen. Die infizierten Systeme können keine neuen Befehle empfangen oder gestohlene Daten übertragen, was die Effektivität des Botnetzes reduziert.
  3. Datensammlung: Die Sinkholes protokollieren die Verbindungsversuche der infizierten Systeme, einschließlich Informationen wie Zeitstempel und IP-Adressen. Diese Daten helfen dabei, das Ausmaß der Infektion zu verstehen und betroffene Systeme zu identifizieren.
  4. Benachrichtigung und Bereinigung: Auf Basis der gesammelten Daten können Sicherheitsbehörden oder IT-Sicherheitsdienstleister die betroffenen Internet-Provider informieren, die wiederum die betroffenen Nutzer benachrichtigen. Dies ermöglicht den Nutzern, Maßnahmen zur Bereinigung ihrer Systeme zu ergreifen.

Es ist für Betroffene schwierig zu erkennen, ob sie Teil eines Botnetzes sind. Das BSI bietet auf seiner Website Informationen zur Erkennung infizierter Systeme.

Nach einer Infektion nehmen die Schadprogramme Kontakt zu einem Kontrollserver (C&C-Server) auf, laden weiteren Schadcode herunter, empfangen Instruktionen oder übermitteln ausgespähte Daten wie Benutzernamen und Passwörter.

Bei der „Operation Endgame“ wurde auch die Schadsoftware Bumblebee bekämpft. Seit März 2024 leitet das BSI die Kommunikation von Bumblebee teilweise auf Sinkholes um und informiert täglich durchschnittlich 5.230 Opfer weltweit. Diese Sinkholes werden vom BSI und anderen IT-Sicherheitsdienstleistern betrieben, um Botnetze zu bekämpfen. Sie protokollieren die Zugriffsversuche mit Zeitstempel und Quell-IP-Adresse. Das BSI informiert dann die zuständigen Internet-Provider, die ihrerseits die Opfer benachrichtigen.

Andere interessante News

Ball im Netz

Fußball-EM 2024: Faeser stellt Sicherheit in den Fokus

Bundesinnen- und Sportministerin Nancy Faeser sieht Bund, Länder und Ausrichterstädte gut vorbereitet für die Fußball-Europameisterschaft UEFA EURO 2024 in Deutschland.

Fire extinguisher, A close-up view of a red fire extinguisher tank in a building, representing concepts of fire safety equipment for security protection, prevention of emergencies,

Der bvfa auf der FeuerTrutz in Nürnberg

Der bvfa – Bundesverband Technischer Brandschutz e.V. teilt sein Wissen zu verschiedenen Brandschutzthemen auf der Fachmesse FeuerTrutz am 26. und 27. Juni 2024 in Nürnberg.

Megaphone used for emergency alarms on the ship

Fachwissen und Kompetenz für die Planung und Projektierung von Sprachalarmanlagen

Die Arbeit an einer Sprachalarmanlage (SAA) erfordert höchste Fachkompetenz, um die Anforderungen der DIN 14675 zu erfüllen. Planer, Errichter und Betreiber können sich bei der Unternehmensberatung Wenzel beraten lassen. Die DIN-14675-Experten unterstützen bei der Zertifizierung und bieten passende Online-Schulungen an.