Botnetz Plug-X: Reinemachen geht nicht?
Während Behörden in Frankreich und den USA die Schadsoftware Plug-X auf betroffenen Computern abschalten, wird in Deutschland über Infektionen nur informiert.
(Bild: solarseven/Shutterstock.com)
Vor gut eineinhalb Jahren erlangte die französische IT-Sicherheitsfirma Sekoia Zugriff auf Kommandoserver-IP des Botnetzes Plug-X. Zehntausende infizierte Endgeräte meldeten sich dort. Sekoia machte sich auf die Suche nach Desinfektionsmöglichkeiten und wurde fündig. Die Malware enthält eine Desinfektionsroutine, die man mit einem simplen Befehl anstoßen kann. Doch das wollte die Firma lieber den mit entsprechenden Rechten ausgestatteten Behörden überlassen und bat um internationale Unterstützung. Unter anderem Frankreich und die USA desinfizierten tausende Systeme. In Deutschland klemmt es jedoch.
Sekoias Angebot
Mutmaßlich chinesische Angreifer entwickelten Plug-X ursprünglich als ein Remote Access Tool, das sie gezielt über USB-Sticks verbreiteten. Damit stahlen sie dann etwa bei VW in großem Stil vertrauliche Daten. Die Malware wurde später zu einer sich selbst weiterverbreitenden Plage erweitert; also einem Wurm, der daraufhin unkontrolliert seine Bahnen zog und Geräte rund um die Welt zu infizieren begann. Die französische Firma scheute davor zurück, selbst auf Systemen Dritter in aller Herren Länder aktiv zu werden. Stattdessen entwickelte Sekoia eine einfache Schnittstelle und startete einen internationalen Aufruf an staatliche Behörden weltweit, doch bitte mit den zur Verfügung gestellten Funktionen die Malware von den Geräten im eigenen Hoheitsbereich zu entfernen.
Sie könnten dazu, so beschreibt es Sekoia, mit einem Befehl an dem Host-Rechner ganz einfach einen Löschvorgang auslösen, den Plug-X bereits mitbringt. Damit ist es nicht erforderlich, eigene Software auf den Zielrechner zu bringen. Alternativ bietet Sekoia noch eine andere Reinigungsfunktion: Um angeschlossene USB-Geräte mitzusäubern, werde dabei eine Payload auf den Rechner geladen, die den Verzeichnisbaum von USB-Speichergeräten ändere. Sekoia selbst bezeichnete diese Variante als "höchst intrusiv" und warnte vor rechtlichen Schwierigkeiten.
FBI nutzt Kill-Switch der Malware
Bereits im Sommer 2024 desinfizierten mit Sekoias Hilfe französische Behörden mehrere tausend Systeme in Frankreich. Jetzt zog das FBI nach und meldete vor wenigen Tagen Vollzug: 4200 Computer in den USA wurden im Zuge der Desinfektionsaktion bereinigt – zum Einsatz kam offenbar der einfache Kill-Befehl. Den Antrag dafür stellte ein FBI-Mitarbeiter aus Philadelphia. Denn im US-Recht ist das zur Schadensverhinderung legal, wenn ein Richter dies genehmigt. Die Beschreibung des genehmigten Antrags ist – wie im US-Justizsystem üblich – öffentlich einsehbar.
Laut Sekoia haben insgesamt zehn Staaten inzwischen unter Gebrauch entsprechender Rechtsnormen die Malware deaktiviert. Die Behörden von 34 Staaten wurden über Europol mit Daten zur Betroffenheit und möglichen Bereinigungsoptionen versorgt – darunter auch deutsche Behörden. heise security hat nach dem aktuellen Stand gefragt. Immerhin gibt es da eine recht einfache, unproblematische Lösung, mit der man nachgewiesenermaßen viele Systeme reinigen könnte.
Deutsche Behörden haben – Bedenken
Doch das BKA winkte ab: Die französische Lösung sei "durch das BKA insbesondere wegen fehlender polizeilicher Gefahrenabwehrbefugnisse auf Bundesebene im Bereich Cybercrime nicht umsetzbar." Allerdings hatte in einem anderen Fall die Wiesbadener Behörde schon einmal beherzter zugegriffen: im Fall der Emotet-Schadsoftware. Damals trauten sich die Behörde sogar, eigene Reinigungs-Software auf den infizierten Geräten zum Einsatz zu bringen und ging damit nach Einschätzung vieler Experten zumindest hart an die rechtliche Grenze. Trotzdem wird die Aktion im Nachhinein allgemein als Erfolg gegen organisierte Cyberkriminalität verbucht. Weshalb man jetzt nicht einmal die viel weniger kritische Abschaltfunktion nutzen wolle, erklärte man uns nicht. Würde das BKA hier erneut eingreifen, würde ein wesentliches Argument für eine angebliche, gesetzliche Befugnislücke wegfallen – geht es am Ende vielleicht vor allem um Politik und gar nicht in erster Linie um die Sicherheit der IT?
Außerdem dürfte eine solche Schadsoftwarebereinigung bereits heute nach §7 Absatz c BSI-Gesetz zwangsweise über die Telekommunikationsanbieter ausgebracht werden ("technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm an betroffene informationstechnische Systeme"). Allerdings geht das nur unter engen Voraussetzungen, etwa wenn kritische Infrastrukturen, Anbieter digitaler Dienste oder die Kommunikationstechnik des Bundes bedroht wären. Nur in diesen Fällen darf das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach Abstimmung mit Bundesnetzagentur und Bundesdatenschutzbeauftragter auch Kundensysteme "zwangsreinigen" – und auch dann nur für den Fall, wenn es den ISPs auch wirtschaftlich und technisch zumutbar ist.
Doch das scheint dem BSI wohl nicht angemessen. Auf unsere Nachfrage hieß es, dass die Behörde seit Ende Januar 2024 über Plug-X-Infektionen benachrichtige, seit Mai 2024 auch mit Daten von Sekoia. Die Information über die Infektion geht dabei zunächst an den zuständigen Internet-Provider, der damit dann seine Kunden informieren müsste. Erfahrungsgemäß führt dieses Vorgehen nur zu sehr geringen Reinigungsquoten, das weiß natürlich auch das BSI. Doch die Betroffenheit in Deutschland sei im Januar 2025 "sehr gering", teilt die Bonner IT-Sicherheitsbehörde mit. Andere Bedrohungen werden derzeit offenkundig als dringlicher erachtet.
(ju)
