BSI und ukrainische Polizei schalten Linux-Botnet Mumblehard ab
Die ebenfalls als Mumblehard bezeichnete Malware suchte und missbrauchte Linux-Server, um darüber Spam-Mails zu versenden. Über die Malware und das von ihr aufgebaute Botnetz hatte der Sicherheitsanbieter Eset bereits 2015 berichtet. Er half den Behörden nun auch bei der Abschaltung.
Das Bundesamt für Sicherheit in der Informationstechnik, die ukrainische Polizei und das Cyber Security Centrum (CyS Centrum) in Kiew haben mit Unterstützung durch den Sicherheitsanbieter Eset in einer gemeinsamen Aktion das Linux-Botnetz “Mumblehard” abgeschaltet. Über das Botnetz wurden an Empfänger weltweit Spam-Mails versendet.
Eset hatte bereits im Frühjahr 2015 über die Malware Mumblehard berichtet. Es richtete dann einen, mit allen bekannten Mumblehard-Komponenten ausgestatteten, so genannten Sinkhole-Server ein, der relevante Verbindungsdaten registrierte. Dadurch konnte der Sicherheitsanbieter die an dem Botnet beteiligten und mit der Malware infizierten Webserver ausfindig machen. Über diese informierte er dann das Computer-Notfallteam des BSI, um sicherzustellen, dass andere CERT-Stellen Mitteilungen an die Betreiber der infizierten Server senden und nachdrücklich um die Bereinigung der Mumblehard-Infektion bitten.
Eine Analyse der Wirkungsweise von Mumblehard hatte Eset im April vergangenen Jahres veröffentlicht (PDF). Unmittelbar danach registrierte der Sinkhole-Server erste Veränderungen: Der Malware-Autor reduzierte die Ziel-IP-Adressen der Befehls- und Kontroll-Server schrittweise auf eine einzige. Die Gründe dafür sind Eset zufolge unklar. Möglicherweise habe es sich bedrängt gefühlt oder schlicht die Organisation vereinfachen wollen.
Da somit schließlich nur noch ein C&C-Server die Steuerung aller nachgeschalteten Bots übernahm, begann die Suche nach diesem Server. Die Cybercrime-Sondereinheit der ukrainischen Polizei und das CyS Centrum machten ihm im Herbst 2015 ausfindig und nahmen ihn vom Netz. Die forensische Analyse ergab, dass die im Eset-Forschungsberichte vom Frühjahr 2015 gemachten Annahmen weitgehend stimmten.
Die Cyberkriminellen tricksten unter anderem die Spamhaus Composite Blocking List (CBL), eine dynamische Spam-Absenderdatenbank, durch ein automatisches Skript aus. Geriet einer ihrer Botnet-Server auf die Blacklist, nahm das Skript über das für fehlerhafte Listungen vorgesehene Formular auf der Spamhaus-Website unmittelbar die “manuelle” Löschung der IP-Adresse vor. Dies gelang trotz eines vorgeschalteten CAPTCHA-Bildes. Möglicherweise wurde das durch externe Dienstleister oder eine optische Texterkennung umgangen wurde.
Nach der Abschaltung des Servers gab es laut Esets Analyse im März 2016 noch über 4000 infizierte, aber inaktive Mumblehard-Zombie-Server. Die Administratoren der Server werden weiterhin vom CERT-Bund angeschrieben, gewarnt und über die Infektion aufgeklärt. Wer eine derartige Warnung erhält, sollte den Webserver umgehend von der Schadsoftware reinigen. Eine Anleitung dazu findet sich bei GitHub. Um künftig Infektionen mit Schadsoftware zu vermeiden rät Eset, alle Serverkomponenten stets aktuell zu halten und komplexe Passwörten zu verwenden. Zusätzlich empfiehlt es wie üblich den Einsatz einer Sicherheitssoftware.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de