Russisches Botnet: Internationaler Schlag gegen RSOCKS
Internationale Strafverfolger haben die Infrastruktur hinter dem russischen RSOCKS-Botnet zerlegt. Auch deutsche Behörden halfen mit, das Botnet zu stoppen.
Das US-amerikanische Justizministerium (DoJ) hat zusammen mit Strafverfolgern aus Deutschland, den Niederlanden und dem Vereinigten Königreich die Infrastruktur des russischen Botnets RSOCKS zerstört. Das Botnet hatte Millionen von Rechnern und Geräten rund um die Welt befallen.
Anfangs habe das RSOCKS-Botnet Internet-of-Things-Geräte kompromittiert. Diese umfassten ein weites Spektrum von industriellen Kontrollsystemen über Uhren, Router, Audio- und Video-Streaming-Geräten bis hin zu Garagentoröffnern, die mit dem Internet verbunden sind und darüber kommunizieren. Die Aktivitäten weiteten die Botnet-Betreiber schließlich auf weitere Geräte wie Android-Smartphones und konventionelle Computer aus.
Botnet bot Proxy-Dienste
Das Geschäftsmodell hinter RSOCKS waren Proxy-Dienste, wie sie etwa viele VPN-Betreiber anbieten. Damit können Internetnutzer ihre Herkunft verschleiern und ihren Internetverkehr über die infizierten Botnet-Drohnen umleiten. So sind sie nicht einfach aufzuspüren, wenn sie etwa kriminellen Tätigkeiten im Netz nachgehen. Zwielichtige Nutzer konnten sich etwa für 30 US-Dollar am Tag Zugriff auf 2.000 Proxies kaufen. Die Preisspanne reichte bis zu 200 US-Dollar für 90.000 Proxies am Tag.
Die Ermittler glauben, dass die Nutzer dieser Proxy-Dienste groß angelegte Angriffe auf Authentifizierungsdienste durchgeführt haben, sogenanntes Credential Stuffing. Zudem hätten sie sich vermutlich bei Zugriffen auf kompromittierte Social-Media-Konten oder beim Versenden bösartiger E-Mails wie Phishing-Mails damit anonymisiert.
FBI-Ermittler hätten sich verdeckt Zugänge zum RSOCKS-Botnet gekauft, um dessen Backend-Infrastruktur und seine Opfer zu auszuforschen. Der initiale Kauf fand im Jahr 2017 statt und führte zur Identifizierung von 325.000 kompromittierten Geräten der Opfer weltweit. Bei den Analysen solcher Geräte fanden die Ermittler heraus, dass sie mit Brute-Force-Angriffen unterwandert wurden. Die RSOCKS-Backend-Server hielten danach eine persistente Verbindung zum geknackten Gerät aufrecht.
GroĂźe Einrichtungen betroffen
Mehrere große öffentliche und private Einrichtungen seien Opfer des RSOCKS-Botnetzes geworden. Diese umfassten etwa eine Universität, ein Hotel, ein Fernsehstudio, einen Elektronikhersteller sowie einige SOHO-Betriebe und Individuen. Konkret betroffene Institutionen nennt das DoJ nicht. Bei drei Opfern haben die Ermittler mit deren Einwilligung kompromittierte Geräte mit von ihnen kontrollierten Honeypots ersetzt. Die wurden daraufhin wie erwartet mit RSOCKS infiziert. So gelangen dann weitere Einsichten in das Botnet.
Die Ermittlungen liefen unter der Federführung durch das FBI. Das US-amerikanische Justizministerium bedankt sich zudem bei den Behörden aus Deutschland, den Niederlanden, dem Vereinigten Königreich sowie dem Büro für internationale Angelegenheiten des DoJ und dem privatwirtschaftlichen IT-Sicherheitsunternehmen Black Echo LLC für ihre Mithilfe bei den Untersuchungen.
Themenseite zu Cybercrime auf heise online
(dmk)