Weltweit aktives Linux-Botnetz Mumblehard ist zerschlagen

Das Computer-Notfallteam des deutschen Bundesamts für Sicherheit in der Informationstechnik (CERT-Bund), die Cybercrime-Einheit der ukrainischen Polizei, das Cyber Security Centrum (CyS Centrum) aus Kiew und der Sicherheitsanbieter Eset haben in einer gemeinsamen Aktion das weltweit aktive Linux-Botnetz “Mumblehard” zerschlagen. Sie werten dies als “bedeutenden Schlag gegen Infektion und Missbrauch von Webservern”. Über das Botnetz wurden weltweit massenhaft Spam-Mails versendet.

Im Frühjahr 2015 hatte Eset die Malware Mumblehard entdeckt. Im Rahmen der Zusammenarbeit mit den Cybersicherheits-Behörden richtete es einen so genannten Sinkhole-Server ein, der mit allen bekannten Mumblehard-Komponenten ausgestattet war und relevante Verbindungsdaten weiterhin registrierte. Dadurch war der Sicherheitsanbieter in der Lage, die beteiligten und infizierten Webserver ausfindig zu machen. Über diese informierte er dann das Computer-Notfallteam des BSI, um sicherzustellen, dass die weltweiten CERT-Stellen in den Regionen Mitteilungen an die infizierten Serverbetreiber senden und mit Nachdruck um Bereinigung der Mumblehard-Infektion bitten.

Im April letzten Jahres veröffentlichte Eset eine detaillierte Analyse der Wirkungsweise von Mumblehard in Form eines Forschungspapiers (PDF).

Unmittelbar danach registrierte sein Sinkhole-Server erste Veränderungen: So verringerte der Malware-Autor zunächst die Ziel-IP-Adressen der Befehl- und Kontroll-Server (C&C-Server) auf eine einzige IP. Die Gründe dafür sind laut Eset unklar, möglicherweise habe sich der Kriminelle bedrängt gefühlt oder schlicht die Organisation vereinfacht. Die Anpassung erfolgte sukzessive im Zeitraum von Mai bis Juni 2015 und konnte durch die Analysevorrichtungen des Sinkhole-Servers nachverfolgt werden.

Da durch diese Änderung nur noch ein einziger C&C-Server die Steuerung aller nachgeschalteten Bots übernahm, begann die Suche nach ebendiesem Server. Die Cybercrime-Sondereinheit der ukrainischen Polizei und das CyS Centrum machten ihm im Herbst 2015 schließlich ausfindig und nahmen ihn vom Netz. Eine forensische Analyse ergab, dass die Annahmen des Eset-Forschungsberichtes vom Frühjahr 2015 weitgehend stimmten.

Um die verteilten Spam-Mails der infizierten Server in den E-Mail-Programmen der Opfer möglichst sichtbar erscheinen zu lassen, integrierten die Cyberkriminellen einen ausgeklügelten Mechanismus: Sie tricksten die Spamhaus Composite Blocking List (CBL), eine dynamische Spam-Absenderdatenbank, durch ein automatisches Skript aus. Wanderte einer der infizierten Botnet-Server auf die Blacklist, sorgte das Skript dafür, dass unmittelbar eine manuelle Löschung der IP über das für fehlerhafte Listungen vorgesehene Formular auf der Spamhaus-Website erfolgte. Dies gelang ihm trotz eines vorgeschalteten CAPTCHA-Bildes, das möglicherweise durch externe Dienstleister oder eine optische Texterkennung umgangen wurde.

Auch nach der Abschaltung des Botnetzes gab es laut Esets Analysedaten im März 2016 weltweit noch über 4000 infizierte, aber durch den fehlenden C&C-Server inaktive Mumblehard-Zombies. Die Administratoren der Server werden weiterhin vom CERT-Bund angeschrieben, gewarnt und über die Infektion aufgeklärt.

Laut Esets Analysedaten waren Ende März 2016 weltweit noch fast 3500 Server mit Mumblehard infiziert (Grafik: Eset).

Wer eine Warnung des CERT-Bund erhält, sollte den kompromittierten Webserver umgehend von der Schadsoftware reinigen. Eine Anleitung dazu findet sich bei GitHub. Um zukünftige Infektionen mit Schadsoftware zu vermeiden rät Eset dazu, alle Serverkomponenten stets aktuell zu halten und mit komplexen Passwörtern zu versehen. Zusätzlich empfiehlt es den Einsatz einer Sicherheitslösung.

[Mit Material von Björn Greif, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

2 Wochen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

2 Wochen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Wochen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Wochen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Wochen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Wochen ago