zurück zum Artikel

Trickbot-Botnet: US-MilitÀr startet Gegenangriff

Ronald Eikenberg
Trickbot-Botnet: US-MilitÀr startet Gegenangriff

(Bild: Evdokimov Maxim/Shutterstock.com)

Um die PrĂ€sidentschaftswahlen zu schĂŒtzen, hat das US Cyber Command offenbar gezielt das Trickbot-Botnet unter Beschuss genommen.

Die Cybercrime-Gang hinter dem gefĂŒrchteten Trickbot-Botnet hat derzeit vermutlich alle HĂ€nde voll zu tun: Die US-Regierung ĂŒberflutet das Netz offenbar mit Fake-Clients und falschen Konfigurationsdateien, um den Betrieb zumindest vorrĂŒbergehend zu stören. Dies soll eine Beeinflussung der bevorstehenden US-PrĂ€sidentschaftswahlen erschweren, wie die Washington Post berichtet.

Kein Anschluss unter dieser Nummer: Die IP-Adresse 127.0.0.1 zeigt auf den lokalen Rechner, statt auf einen C&C-Server der Trickbot-Infrastruktur.

Kein Anschluss unter dieser Nummer: Die IP-Adresse 127.0.0.1 zeigt auf den lokalen Rechner, statt auf einen C&C-Server der Trickbot-Infrastruktur.

(Bild: Brian Krebs)

Dass etwas im Busch ist, war schon lĂ€nger bekannt: So berichtete der Security-Spezialist Brian Krebs bereits Anfang Oktober von merkwĂŒrdigen AktivitĂ€ten bei Trickbot [1]. Demnach wurden auffĂ€llige Konfigurationsdateien an die infizierten Clients verteilt, welche die Adresse des Command-and-Control-Servers (C&C-Server) auf https://127.0.0.1 setzen. Unter dieser Loopback-Adresse erreicht der infizierte Rechner nur sich selbst, folglich kann er keine neuen Instruktionen abrufen.

Viele neue Trickbots

Zudem sei die Zahl der infizierten Clients am 1. Oktober laut Krebs von 2,7 Millionen auf 7 Millionen angestiegen, was dafĂŒrspricht, dass jemand das Botnet mit Fake-Bots flutet. Die Geisterrechner stehen vermeintlich beim US-Verteidigungsministerium und diversen Finanzunternehmen, wie sich aus den Rechnernamen der Fake-Clients ableiten lĂ€sst. Einen Bezug zur US-Regierung stellte Krebs zu diesem Zeitpunkt jedoch noch nicht her. Eine Beteiligung der US-Cyberwar-Behörde United States Cyber Command wurde erst durch den Artikel der Washington Post bekannt [2].

GegenĂŒber der Washington Post berichten US-Beamte, dass der Gegenangriff das Trickbot-Botnet wohl nicht dauerhaft lahmlegen werde. Jedoch werden die HintermĂ€nner voraussichtlich eine Weile damit beschĂ€ftigt sein, ehe der Normalbetrieb wiederhergestellt ist. Ziel des Gegenangriffs ist offenbar, eine Beeinflussung der bevorstehenden US-PrĂ€sidentschaftswahlen durch das schlagkrĂ€ftige Botnet zu verhindern.

Weitere Maßnahmen erfolgreich

Auch durch eine Zusammenarbeit von Microsoft, Eset, Symantec, Broadcom, NTT und weiteren ist offenbar ein Schlag gegen Trickbot geglĂŒckt: Wie Microsoft berichtet [3], konnten wichtige Teile der Trickbot-Infrastruktur gestört werden, wodurch die Cyber-Angreifer damit nicht lĂ€nger in der Lage sein sollen, neue Malware zu verteilen und Payloads zu aktivieren. Unklar ist derzeit noch, ob es sich um eine separate Aktion handelt oder ob es einen direkt Zusammenhang mit den AktivitĂ€ten des US Cyber Command gibt.

Jetzt heise security PRO entdecken Jetzt heise security PRO entdecken [4]

(rei [5])

URL dieses Artikels:
https://www.heise.de/-4926678

Links in diesem Artikel:
[1] https://krebsonsecurity.com/2020/10/attacks-aimed-at-disrupting-the-trickbot-botnet/
[2] https://www.washingtonpost.com/national-security/cyber-command-trickbot-disrupt/2020/10/09/19587aae-0a32-11eb-a166-dc429b380d10_story.html
[3] https://blogs.microsoft.com/on-the-issues/2020/10/12/trickbot-ransomware-cyberthreat-us-elections/
[4] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[5] mailto:rei@heise.de

Copyright © 2020 Heise Medien