Home » News » Gefährliches Botnetz „Smokeloader“ mit BSI-Unterstützung zerschlagen

Gefährliches Botnetz „Smokeloader“ mit BSI-Unterstützung zerschlagen

Das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt am Main (ZIT) haben am 28. und 29. Mai 2024, unterstützt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), einen Schlag gegen Cybercrime geführt. Im Rahmen der internationalen „Operation Endgame“ wurde die gefährliche Schadsoftware Smokeloader vom Netz genommen.

2 Min. Lesezeit
a smartphone infected with a mobile botnet, showing the coordinated network of compromised devices.
Foto: ©AdobeStock/jovannig

Die Schadsoftware Smokeloader ist ein in vielen Ländern aktiver Dropper, der von Angreifern zur Erstinfektion genutzt wird, um die Kontrolle über infizierte Systeme zu erlangen und sie in ein Botnetz zu integrieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Cybersicherheitsbehörde des Bundes, betreibt seit vielen Jahren die Abwehr von Botnetzen. Für den Takedown von Smokeloader im Rahmen einer internationalen Aktion stellte das BSI eine Sinkhole-Infrastruktur bereit.

Was ist ein Sinkhole?

Eine Sinkhole-Infrastruktur ein wichtiges Werkzeug zur Bekämpfung von Botnetzen und anderen Formen von Schadsoftware, indem sie deren Kommunikation stört und Daten über Infektionen sammelt, um die betroffenen Systeme zu identifizieren und zu bereinigen. Und so funktioniert es:

  1. Umleitung des Datenverkehrs: Wenn eine Schadsoftware auf einem infizierten System installiert ist, versucht sie häufig, sich mit einem Kontrollserver (C&C-Server) zu verbinden, um weitere Anweisungen zu erhalten oder Daten zu senden. Eine Sinkhole-Infrastruktur fängt diese Verbindungsversuche ab und leitet sie zu speziellen Servern (Sinkholes) um, die von Sicherheitsforschern oder Behörden kontrolliert werden.
  2. Unterbrechung der Schadsoftware-Kommunikation: Durch diese Umleitung wird die Kommunikation der Schadsoftware mit den tatsächlichen Kontrollservern der Angreifer unterbrochen. Die infizierten Systeme können keine neuen Befehle empfangen oder gestohlene Daten übertragen, was die Effektivität des Botnetzes reduziert.
  3. Datensammlung: Die Sinkholes protokollieren die Verbindungsversuche der infizierten Systeme, einschließlich Informationen wie Zeitstempel und IP-Adressen. Diese Daten helfen dabei, das Ausmaß der Infektion zu verstehen und betroffene Systeme zu identifizieren.
  4. Benachrichtigung und Bereinigung: Auf Basis der gesammelten Daten können Sicherheitsbehörden oder IT-Sicherheitsdienstleister die betroffenen Internet-Provider informieren, die wiederum die betroffenen Nutzer benachrichtigen. Dies ermöglicht den Nutzern, Maßnahmen zur Bereinigung ihrer Systeme zu ergreifen.

Es ist für Betroffene schwierig zu erkennen, ob sie Teil eines Botnetzes sind. Das BSI bietet auf seiner Website Informationen zur Erkennung infizierter Systeme.

Nach einer Infektion nehmen die Schadprogramme Kontakt zu einem Kontrollserver (C&C-Server) auf, laden weiteren Schadcode herunter, empfangen Instruktionen oder übermitteln ausgespähte Daten wie Benutzernamen und Passwörter.

Bei der „Operation Endgame“ wurde auch die Schadsoftware Bumblebee bekämpft. Seit März 2024 leitet das BSI die Kommunikation von Bumblebee teilweise auf Sinkholes um und informiert täglich durchschnittlich 5.230 Opfer weltweit. Diese Sinkholes werden vom BSI und anderen IT-Sicherheitsdienstleistern betrieben, um Botnetze zu bekämpfen. Sie protokollieren die Zugriffsversuche mit Zeitstempel und Quell-IP-Adresse. Das BSI informiert dann die zuständigen Internet-Provider, die ihrerseits die Opfer benachrichtigen.

Andere interessante News

Eine mysteriöse Gestalt in einem roten Kapuzenpullover sitzt vor einem Laptop, Cybercrime-Foren

BKA: Zwei weltweit größten Cybercrime-Foren ausgehoben

Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität – und das Bundeskriminalamt (BKA haben vom 28. bis 30. Januar 2025 gemeinsam...

AI Act, EU-Flagge mit Leiterplattenmustern symbolisiert ethische KI-Governance.

Europäischer Datenschutztag: Welche Neuerungen Unternehmen im Datenschutz-Jahr 2025 erwarten

Der Europäische Datenschutztag markiert einen jährlichen Aktionstag des Europarats, der 2025 besonders brisant ist: Mit der KI-Verordnung (AI Act) und der neuen Einwilligungsverord...

Europakarte mit virtuellem Hammer und Soundblock und AI-Wort. Konzept des von der EU kürzlich verabschiedeten AI Act.

Neue Gesichtserkennungs-Technologie für Waffenschränke

Biometrische Sicherheit für Jäger und Sportschützen: Hartmann Tresore und Rheinmetall Dermalog SensorTec präsentieren auf der Jagd & Hund (28. Januar – 2. Februar 2025, Dortmund) d...