2189383

Spam-Botnet Mumblehard zerschlagen

08.04.2016 | 16:29 Uhr |

Der Antivirushersteller ESET hat in Zusammenarbeit mit deutschen und ukrainischen Behörden ein Botnetz aus mehreren tausend Linux-Servern aus dem Verkehr gezogen. Es diente hauptsächlich dem Spam-Versand.

Spammer nutzen ganze Netzwerke gekaperter Rechner, um ihre fragwürdigen Werbebotschaften zu verbreiten. Diese betreiben sie nicht selbst, sondern mieten sie bei den Betreibern dieser so genannten Botnetze. Meist sind es fremdgesteuerte Windows-Rechner, die Kriminelle mit eingeschleuster Malware unter ihre Kontrolle bringen. Anders bei Mumblehard: hier hatten die Täter mehrere tausend Web-Server gekapert, die unter Linux laufen. Der slowakischen Antivirushersteller ESET hat das Mumblehard-Botnetz in Kooperation mit dem CERT-Bund des BSI und der ukrainischen Cyber-Polizei still gelegt.

Neben ukrainischen Ermittlungsbehörden und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) war auch das ukrainische Sicherheitsunternehmen CyS Centrum (Cyber Security Centrum) beteiligt. Wie ESET jetzt in seinem deutschsprachigen Blog We Live Security berichtet, ist das Mumblehard-Botnetz bereits seit Ende Februar außer Gefecht gesetzt. Ein so genannter Sinkhole-Server, den ESET betreibt, fängt seitdem den Datenverkehr des Botnetzes ab.

Die Analyse der abgefangenen Daten zeigt, dass Ende Februar an die 4000 Linux-Rechner Teil des Botnetzes waren. Die legitimen Betreiber der gekaperten Server werden inzwischen durch das BSI benachrichtigt. Die Zahl der verseuchten Systeme ist im Laufe des März langsam auf unter 3500 gesunken.

Die Linux-Server wurden wenigstens zum Teil über Sicherheitslücken in veralteten Versionen gängiger CMS-Software wie Wordpress und Joomla oder deren Plug-ins kompromittiert. Den Anfang machte dem Anschein nach allerdings ein Grundstock bereits verseuchter Systeme, die die Täter möglicherweise von anderen Kriminellen gekauft hatten. Das Beispiel zeigt, wie wichtig es ist, stets aktuelle Versionen der Software einzusetzen, die auf einem Web-Server läuft. Die Hersteller beseitigen bekannt gewordene Sicherheitslücken mit entsprechenden Updates.

ESET hatte bereits im April 2015 eine technische Analyse des Mumblehard-Botnetzes veröffentlicht. Die Botnetzbetreiber hatten darauf reagiert und ihre Aktivitäten auf einem einzelnen C&C-Server (zur Steuerung des Botnetzes) konzentriert. Mit Hilfe der ukrainischen Partner konnte ESET diesen aufspüren und die zugehörige IP-Adresse übernehmen. Damit dürfte Mumblehard Geschichte sein. Was bleibt, ist die Aufgabe die verseuchten Rechner zu bereinigen. ESET hat dazu auf Github ausführliche Informationen bereit gestellt, mit denen eine Mumblehard-Infektion erkannt und beseitigt werden kann.

0 Kommentare zu diesem Artikel
2189383