Freundliche Übernahme: FBI steuert Bot-PCs

Das FBI hat das Botnet Coreflood vom Netz genommen und belässt es nicht bei der Abschaltung der Steuer-Rechner. Die Behörde greift aktiv in die PCs der Opfer ein, um die Schadsoftware zu deaktivieren. Ein seltener Vorgang.

In Pocket speichern vorlesen Druckansicht 207 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Das FBI hat am Dienstagabend das Botnet Coreflood vom Netz genommen und dabei einen Schritt gewagt, der unter Sicherheitsexperten für Diskussionsstoff sorgen dürfte: Die US-Behörden greifen aktiv in die Rechner der Opfer ein, um den Schädling temporär den Garaus zu machen. Versucht sich ein mit dem Bot infizierter Rechner mit einem der Steuer-Rechner ("Command and Control Server") zu verbinden, landet er auf einem vom FBI kontrollierten Server, der einen Terminierungsbefehl aussendet. Dadurch ist die Schadsoftware bis zum nächsten Neustart deaktiviert.

Häufiger nehmen Ermittlungsbehörden Command-and-Control-Server vom Netz, Sicherheitsexperten hatten auch schon mehrfach die Kontrolle über ganze Botnets. Es gilt jedoch als Tabubruch, aktiv in die infizierten Rechner einzugreifen, um etwa die Schadsoftware von den infizierten Rechnern zu entfernen – nicht zuletzt, weil ein solcher Eingriff erheblichen Schaden anrichten könnte. Schlägt die Deinstallation fehl, fährt der PC des Opfers, das zuvor gar nichts von der Infektion wusste, unter Umständen nicht mehr hoch oder es gehen wichtige Daten verloren. Das will das FBI mit einer vorangegangenen umfassenden Analyse des Schädlings verhindern.

Auch die rechtliche Situation ist unklar. Ein ähnlicher Fall sorgte im Oktober vergangenen Jahres für Aufsehen, als die niederländischen Behörden beim Botnet Bredolab den Stecker gezogen hatten. Damals nutzten die Holländer die Struktur des Botnets, um eine Datei auf den infizierten Rechnern zu platzieren, welche die Opfer auf eine Webseite lenkte, die einen Warnhinweis und Tipps zum Entfernen des Schädlings bereithielt.

Laut dem US-Magazin Wired war das vom FBI übernommene Coreflood-Botnet fast zehn Jahre aktiv und hat im Laufe der Jahre über zwei Millionen Rechner infiziert, einen Großteil davon in den USA. Der Schädling hat es in letzter Zeit vor allem auf die Zugangsdaten seiner Opfer abgesehen, etwa für Onlinebanking. Dadurch sind den Opfern zum Teil erhebliche Schäden entstanden. So wurde ein Rüstungsunternehmen aus Tennessee nach Angaben des FBI um etwa fast 250.000 US-Dollar erleichtert. (rei)